Специалисты компании ESET обнаружили новый метод компрометации рабочих станций, который использует хакерская группировка Turla. Эта техника применяется в атаках, нацеленных на сотрудников посольств и консульств стран постсоветского пространства.
Группа Turla (она же Snake или Uroburos) известна ИБ-специалистам давно и специализируется на операциях кибершпионажа. Эти парни засветились на радарах специалистов в области информационной безопасности благодаря различным вещам, в том числе, созданию чрезвычайно скрытного трояна для Linux. От деятельности группировки пострадали уже 45 стран мира и сети, принадлежащие государственным учреждениям, посольствам, военным, исследовательским центрам и фармацевтическим компаниям. Ее жертвами становились крупные организации из Европы и США, в 2016 году хакеры провели атаку на швейцарский оборонный холдинг RUAG. Характерные для Turla методы – атаки типа watering hole и целевой фишинг. Но, как показало новое исследование ESET, группировка продолжает совершенствовать свой инструментарий.
Исследователи ESET рассказали, что Turla объединила в единый пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрила специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe. Данные меры заставляют потенциальную жертву поверить, что она скачивает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности. Подмена легитимного установщика вредоносным производится на одном из этапов пути от серверов Adobe к рабочей станции.
Специалисты ESET предполагают, что подобная атака может производиться следующими способами:
После запуска поддельного инсталлятора Flash Player на компьютер жертвы будет установлен один из бэкдоров группы Turla. Это может быть одна из версий Windows-бэкдора Mosquito, вредоносный файл JavaScript или неизвестный файл, загруженный с фиктивного и несуществующего URL-адреса Adobe.
Эксперты подчеркивают, что сценарии, связанные с компрометацией Adobe, исключены. То есть вредоносные программы группа Turla не были внедрены в какие-либо легитимные обновления Flash Player и не связаны с известными уязвимостями продуктов Adobe. Также практически исключена компрометация сайта загрузки Adobe Flash Player.
Далее малварь выполняет основную задачу – эксфильтрацию конфиденциальных данных. Атакующие получают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу.
На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.
По данным ESET, новый инструмент используется в атаках минимум с июля 2016 года. Связь с Turla установлена на основании нескольких признаков, включающих использование бэкдора Mosquito и нескольких IP-адресов, ранее отнесенных к данной хакерской группе.
Читайте также
Последние новости