Eset обнаружила новые инструменты киберпреступной группировки Turla
29 мая 2019 14:41 #81614
от ICT
ICT создал тему: Eset обнаружила новые инструменты киберпреступной группировки Turla
По данным аналитиков Eset, в недавних атаках киберпреступники группировки Turla начали применять скрипты PowerShell, которые усложняют обнаружение вредоносных программ и сохраняют повышенную персистентность. Недавно Eset зафиксировала несколько кибератак на дипломатические учреждения в Восточной Европе. Во всех случаях использовались скрипты PowerShell, которые позволяют загружать и запускать вредоносные программы прямо в памяти. Этот способ более эффективен для сокрытия вредоносной активности по сравнению с традиционным сохранением исполняемого файла на диск. Эксперты Eset отмечают, что PowerShell-скрипты являются неотъемлемыми компонентами, позволяющими загрузить RPC- и PowerShell-бэкдоры. Ранее киберпреступники уже пытались использовать загрузчики PowerShell, однако вредоносную кампанию не удалось реализовать из-за многочисленных багов. Сейчас Turla улучшила скрипты и теперь использует их для загрузки широкого спектра разнообразных вредоносных программ. «Мы обнаружили и изучили не только новый загрузчик PowerShell, но и несколько вариантов полезной нагрузки», — отметил антивирусный эксперт Eset Матье Фау. Несмотря на использование скриптов PowerShell, антивирусные продукты по-прежнему могут детектировать вредоносную полезную нагрузку. Эксперты выделяют два вида бэкдоров, один из которых получает контроль над устройствами локальной сети без привязки к внешнему C&C-серверу (бэкдор на базе RPC-протокола). Другой, PowerStallion, использует хранилище Microsoft OneDrive в качестве C&C-сервера. «Мы считаем, что этот бэкдор помогает восстанавливать доступ в случаях, когда основные вредоносные программы заблокированы и не имеют доступ к скомпрометированным компьютерам», — полагает эксперт Eset Матье Фау. Любопытно, что в новых атаках группировка использует бесплатный сервис электронной почты GMX. Eset уверена, что использование средства с открытым исходным кодом (язык PowerShell) не означает, что группировка откажется от своих традиционных инструментов. Более того, киберпреступники скорее продолжат их совершенствование. Решения Eset успешно детектируют угрозы как PowerShell/Turla.T, Win64/Turla.BQ, Win64/Turla.BQ, Win32/Turla.BZ, Win64/Turla.BS, Win64/Turla.BR Группировка Turla получила известность в 2008 году, после взлома сети Центрального командования Вооруженных сил США. Цель киберпреступников — кража конфиденциальных данных, представляющих стратегическую важность. Жертвами в разные годы становились Министерство иностранных дел Финляндии (2013), правительство Германии (2017). Короткая ссылка на материал: [url]#[/url]
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Eset обнаружила новый бэкдор АРТ-группы Turla | 21.38 | Четверг, 31 августа 2017 |
Eset: бэкдор группировки Turla позволяет редактировать письма на серверах Microsoft Exchange | 21.37 | Понедельник, 13 мая 2019 |
Eset изучила новые приемы группировки Oceanlotus | 17.36 | Четверг, 28 марта 2019 |
Eset выявил новые возможности бэкдора группировки Sednit | 17.18 | Понедельник, 03 июня 2019 |
Eset обнаружила новые компоненты крупнейшего ботнета | 16.45 | Среда, 15 ноября 2017 |
ESET обнаружила новые образцы шпионского софта Hacking Team | 16.11 | Вторник, 27 марта 2018 |
Eset: хакеры Turla меняют тактику | 14.78 | Среда, 30 мая 2018 |
Eset исследовала сложный бэкдор Carbon кибергруппировки Turla | 14.47 | Понедельник, 03 апреля 2017 |
Eset: хакеры Turla атакуют пользователей Microsoft Outlook | 14.47 | Понедельник, 27 августа 2018 |
Eset: группа Turla распространяет бэкдор с установщиком Flash Player | 14.32 | Среда, 10 января 2018 |