Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

США рассказали о вредоносном ПО группировок Turla и Fancy Bear

02/11/20

CNMFКиберкомандование США рассказало об имплантатах вредоносных программ, используемых хакерскими группами в ходе атак на различные министерства иностранных дел, национальные парламенты и посольства.

Образцы вредоносных программ были идентифицированы подразделением Cyber National Mission Force (CNMF), входящим в состав Кибернетического командования США, совместно с Агентством кибербезопасности и безопасности инфраструктуры (CISA) и загружены на платформу Virus Total.

CISA также опубликовало два совместных с ФБР и CNMF предупреждения, в которых подробно рассказывается о вредоносных программах ComRAT и Zebrocy. Вредоносы использовались российскими хакерскими группировками Turla и Fancy Bear в атаках.

Киберпреступная группировка Turla (также известная как Ouroboros, Snake, Venomous Bear or Waterbug) использовала бэкдор ComRAT в атаках на «министерства иностранных дел и национальные парламенты в целях кибершпионажа, кражи данных и установки вредоносного ПО».

Использование бэкдора Zebrocy также было замечено во время атак на посольства и министерства иностранных дел в Восточной Европе и Центральной Азии. Zebrocy позволяет удаленному оператору выполнять различные функции на скомпрометированной системе. Хотя в сообщении CISA не упоминается источник угрозы, стоящий за этой серией атак, специалисты связывают бэкдор Zebrocy с группировкой APT 28 (также известной как Sofacy, Fancy Bear, Sednit, STRONTIUM).

PowerShell-скрипт декодирует и загружает 64-разрядную DLL-библиотеку, идентифицированную как ComRAT. Новый вариант ComRAT содержит встроенные 32-разрядные и 64-разрядные используемые DLL-библиотеки в качестве коммуникационных модулей. Коммуникационный модуль внедряется в браузер системы жертвы по умолчанию. Файл ComRATv4 и модуль связи взаимодействуют друг с другом с помощью именованного канала. Именованный канал используется для отправки HTTP-запросов и получения HTTP-ответов к модулю связи и от него для команд бэкдора. Он предназначен для использования web-интерфейса Gmail для получения команд и хищения данных. Файл ComRAT v4 содержит виртуальную файловую систему (VFS) в формате FAT16, которая включает файлы конфигурации и журналов.

Темы:СШАОтрасльинструкцииTurlaCNMF
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...