Eset: хакеры Turla атакуют пользователей Microsoft Outlook
27 авг 2018 15:40 #71629
от ICT
ICT создал тему: Eset: хакеры Turla атакуют пользователей Microsoft Outlook
Специалисты Eset выполнили анализ бэкдора кибершпионской группы Turla, который использовался для кражи конфиденциальных данных госучреждений в странах Европы. Хакеры управляли программой через Microsoft Outlook, отправляя команды в PDF-файлах во вложении. Вредоносная программа была установлена на нескольких компьютерах Федерального министерства иностранных дел Германии. Чтобы достичь этой цели, операторы Turla скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не проникли в МИД в марте 2017 г. Далее на протяжении 2017 г. Outlook-бэкдор обеспечивал хакерам доступ к данным, включая почту сотрудников. Операторы Turla используют для связи с бэкдором электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. Так они могут отправлять на зараженный компьютер целый ряд команд: выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы. Собранная информация также будет отправлена хакерам в PDF. Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами. Фактически, вредоносная программа выполнит команды любого, кто сможет закодировать их в PDF-документе. В свою очередь, операторы Turla могут восстановить контроль, отправив бэкдору соответствующий запрос с любого адреса электронной почты. Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах. Кроме того, бэкдор дублирует своим операторам все исходящие письма жертвы. Почта уходит одновременно с отправкой настоящих писем, поэтому подозрительный трафик за пределами рабочего дня пользователя отсутствует. Чтобы скрыть свою активность, бэкдор блокирует уведомления о входящих письмах от операторов. Отправленная хакерам почта также не отображается в почтовом ящике. Тем не менее, в момент поступления письма с командами жертва может видеть индикатор непрочтенного входящего сообщения в течение нескольких секунд. Новейшие версии бэкдора нацелены на Microsoft Outlook, более старые позволяли также работать с почтовым клиентом The Bat!, популярным в Восточной Европе. Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты – MAPI. Это существенная доработка в сравнении с прежними версиями бэкдора. По мнению специалистов Eset, Turla – единственная кибергруппа, которая использует в настоящее время подобные инструменты. Кибергруппа Turla (Snake, Uroboros) получила известность в 2008 г. после взлома защищенных объектов, включая сеть Центрального командования ВС США. В списке жертв – Министерство иностранных дел Финляндии (2013 г.), швейцарская оборонная корпорация RUAG (2014–2016 гг.), правительство Германии (конец 2017–начало 2018 гг.).
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Eset: хакеры Turla меняют тактику | 20.63 | Среда, 30 мая 2018 |
Eset: спамеры атакуют Apple-пользователей | 18.01 | Понедельник, 17 июля 2017 |
Eset: бэкдор группировки Turla позволяет редактировать письма на серверах Microsoft Exchange | 17.9 | Понедельник, 13 мая 2019 |
Eset: хакеры майнят криптовалюту через браузеры российских пользователей | 15.28 | Понедельник, 18 сентября 2017 |
Eset обнаружила новый бэкдор АРТ-группы Turla | 14.62 | Четверг, 31 августа 2017 |
Eset исследовала сложный бэкдор Carbon кибергруппировки Turla | 14.47 | Понедельник, 03 апреля 2017 |
Eset обнаружила новые инструменты киберпреступной группировки Turla | 14.47 | Среда, 29 мая 2019 |
Eset: группа Turla распространяет бэкдор с установщиком Flash Player | 14.32 | Среда, 10 января 2018 |
Хакеры атакуют ЦБ России | 14.23 | Четверг, 20 августа 2015 |
Хакеры атакуют постояльцев гостиниц Hyatt | 13.92 | Пятница, 25 декабря 2015 |