Следующая новость
Предыдущая новость

Хак-группа Turla атаковала армянские сайты

14.03.2020 1:32
Хак-группа Turla атаковала армянские сайты

Рекомендуем почитать:

Xakep #250. Погружение в AD

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании ESET предупреждают, что русскоязычная группировка Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton) компрометирует сайты в Армении, включая официальные политические ресурсы. Также было замечено, что группировка использует новые образцы вредоносного ПО.

Хак-группа Turla атаковала армянские сайты
Схема атаки

Новая кампания была выявлена во время анализа атаки типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.

В качестве приманки злоумышленники использовали фальшивое обновление для Adobe Flash, и по меньшей мере четыре армянских сайта были взломаны, в том числе два принадлежащих правительству ресурса. То есть предполагаемыми целями хакеров являются правительственные чиновники и политики. Так, в числе пострадавших ресурсов были сайты Консульского отдела Посольства Армении в России, Министерства охраны природы и природных ресурсов Республики Арцах, Армянский институт международных отношений и безопасности и так далее. Причем, по мнению аналитиков, ресурсы были взломаны еще в начале 2019 года.

Хак-группа Turla атаковала армянские сайты
Фальшивое обновление

Turla внедрила код этих сайтов JavaScript, загружавшийся с внешнего домена, который прекратил доставку скриптов еще в ноябре 2019 года (то есть кампания завершилась примерно в это время). Внешний домен выполнял тщательный фингерпринтинг, и только отдельные интересующие хакеров жертвы получали дополнительную полезную нагрузку в виде фейкового обновления для Adobe Flash. Судя по всему, именно по причине такой избирательности кампания и оставалась незамеченной так долго.

Хак-группа Turla атаковала армянские сайты
Обфусцированный код JavaScript, внедренный в веб-сайт mnp.nkr[.]am

До сентября 2019 года обманутым пользователям устанавливали малварь Skipper, которая была впервые задокументирована еще в 2017 году. В период с сентября по ноябрь 2019 года вредоносный домен распространял новый загрузчик под названием NetFlash, который отвечал за загрузку бэкдора PyFlash. Эксперты ESET считают, что это первый случай, когда разработчики Turla использовали язык Python в бэкдоре.

Источник

Последние новости