Turla вооружилась новым вредоносным ПО
16/07/19
Киберпреступная группировка Turla обновила свой арсенал набором инструментов для атак на правительственные структуры. В частности, злоумышленники используют дроппер под названием «Topinambour», используемый на первой стадии атак. После установки он загружает на систему другие вредоносные программы, используемые Turla для доступа к целевым сетям и извлечения данных.
По информации «Лаборатории Касперского», для распространения новых модулей преступники используют легитимные установщики ПО, зараженные дроппером «Topinambour». Это могут быть инструменты для обхода интернет-цензуры, такие как Softether VPN 4.12 и psiphon3, или активаторы Microsoft Office. Последние используются пиратами для активации пакета Microsoft Office без необходимости покупать ключ.
Русскоговорящая хакерская группировка Turla (Snake, Venomous Bear, Waterbug и Uroboros) известна своими атаками на западные правительства, а также посольства и консульства в странах постсоветского пространства.
«Topinambour» содержит «крошечный .NET шелл», который ожидает команды от C&C-сервера и выполняет их. Сама C&C-инфраструктура размещена на скомпрометированных сайтах на WordPress и облачных сервисах. С помощью команд «net use» и «copy» операторы кампании распространяют вредоносные модули следующего этапа — инструмент KopiLuwak, а также новые трояны MiamiBeach и RocketMan!, написанные на языках PowerShell и .NET.
MiamiBeach и RocketMan! загружают, скачивают и исполняют файлы, а также собирают информацию о системе. Кроме того, PowerShell-версия также способна делать снимки экрана. Также они загружают конечный более сложный вредоносный модуль, который может выполнять команды, полученные с C&C-сервера.
По мнению исследователей, создание похожих по функционалу троянов на разных языках может быть связано с защитой от обнаружения. Если на компьютере будет обнаружена одна версия, то операторы могут прибегнуть к аналогу на другом языке. Причиной разработки аналогов KopiLuwak может быть минимизация рисков обнаружения известных JavaScript-версий троянов.