ESET: группа Turla распространяет бэкдор вместе с установщиком Flash Player

Специалисты ESET обнаружили новый метод компрометации рабочих станций, который использует кибергруппа Turla. Данная техника применяется в атаках, нацеленных на сотрудников посольств и консульств стран постсоветского пространства.

Группа Turla специализируется на операциях кибершпионажа. Ее жертвами становились крупные организации из Европы и США, в 2016 году хакеры провели атаку на швейцарский оборонный холдинг RUAG. Характерные для Turla методы – атаки типа watering hole и целевой фишинг. Но, как показало новое исследование ESET, группа совершенствует инструментарий.

Хакеры Turla объединили в пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрили специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe. Данные меры заставляют потенциальную жертву поверить, что она скачивает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности – подмена легитимного установщика вредоносным производится на одном из этапов пути от серверов Adobe к рабочей станции.

Специалисты ESET предполагают, что подобная атака может производиться следующими способами:

- Одна из машин в корпоративной сети жертвы может быть взломана, чтобы использоваться в качестве плацдарма для локальной атаки Man-in-the-Middle (MitM). Далее в ходе атаки трафик компьютера жертвы будет перенаправлен на скомпрометированную машину в локальной сети.

- Атакующие могут скомпрометировать сетевой шлюз организации для перехвата входящего и исходящего трафика между корпоративной сетью и интернетом.

- Перехват трафика может производиться на уровне интернет-провайдера (ISP) – тактика известна из недавнего исследования ESET, посвященного кибершпионажу. Известные жертвы находятся в разных странах и, по данным ESET, используют услуги минимум четырех провайдеров.

- Хакеры могут выполнить атаку на BGP-маршрутизаторы ( Border Gateway Protocol hijacking) для перенаправления трафика на контролируемый ими сервер, хотя эта тактика, скорее всего, привлекла бы внимание систем мониторинга.

После запуска поддельного инсталлятора Flash Player на компьютер жертвы будет установлен один из бэкдоров группы Turla. Это может быть одна из версий Windows-бэкдора Mosquito, вредоносный файл JavaScript или неизвестный файл, загруженный с фиктивного и несуществующего URL-адреса Adobe.   

Далее выполняется основная задача – эксфильтрация конфиденциальных данных. Атакующие получают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу.

На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.

Новый инструмент используется в атаках минимум с июля 2016 года. Связь с Turla установлена на основании нескольких признаков, включающих использование бэкдора Mosquito и нескольких IP-адресов, ранее отнесенных к данной кибергруппе.

Важно подчеркнуть, что в ESET исключают сценарии, связанные с компрометацией Adobe. Вредоносные программы группа Turla не были внедрены в какие-либо легитимные обновления Flash Player и не связаны с известными уязвимостями продуктов Adobe. Практически исключена также компрометация веб-сайта загрузки Adobe Flash Player.

Более подробная информация о Turla представлена в новом отчете

Возврат к списку

Если вы заметили ошибку в тексте — выделите её мышью и нажмите CTRL+ENTER.

Материалы по теме:


Обсуждение
 
Текст сообщения*
Загрузить файл или картинкуПеретащить с помощью Drag'n'drop
Перетащите файлы
Ничего не найдено
Защита от автоматических сообщений
Загрузить изображение
 

Последние новости IT

14:32 26 мая в Минске состоится Guru Blockchain Forum
12:03 Безрамочный смартфон Google Pixel 3 показался на снимках
11:43 Arctic Alpine 12 Passive: CPU охладитель для бесшумных ПК
10:20 Фитнес-браслет Xiaomi Mi Band 3 показался на рендере
10:06 ECS выпустила бесшумный mini-PC LIVA Z2 в двух версиях

Все новости IT

Популярные новости IT

Lenovo готовит дешевый 5,3'' смартфон с четырехъядерным чипом и 2 Гбайт ОЗУ
Toshiba первой доводит объем жестких дисков типоразмера 2,5 дюйма до 3 ТБ
Sony представила объектив FE 24-105mm F4 G OSS для полнокадровых камер
Nokia окончила расследование дела о рекламе Lumia 920 и приняла соответствующие меры
Маленький кардридер Kingston MobileLite G3 с USB 3.0




Первый Каталог - Телефония и связь Система Orphus

© 2011-2018 · The World of High-Tech
Мир Высоких Технологий · www.WHT.by