Группировка Turla использует новый дроппер для атак на G20

На прошлой неделе эксперты компании Proofpoint опубликовали доклад о хакерских атаках на организации, имеющие непосредственное отношение к саммиту G20 и связываемой со спецслужбами РФ группировки Turla.

Саммит G20 прошёл в предыдущем месяце в городе Гамбург, Германия. Последующие мероприятия будут проходить там же в течении всего следующего года, в том числе и собрание целевой группы «Цифровая экономика» намеченное на 23-24 октября.

Документ с объявлением о грядущем собрании хакерская группировка Turla использовала в качестве приманки для распространения нового .NET/MSIL дроппера, эксплуатирующего недавно обнаруженный Javascript-бэкдор известный как KopiLuwak.

Документ-приманка рассылается от имени Федерального министерства экономики и энергетики Германии. По мнению экспертов, документ является подлинным. Самого документа нет в открытом доступе, а это может говорить о том, что злоумышленники получили его из источника, которому он изначально был предназначен.

Эксперты Proofpoint также отметили, что метаданные настоящего PDF документа, размещённого на сайте Федерального министерства экономики и энергетики, и файла-приманки частично совпадают. В частности, речь идёт об имени автора и устройстве, на котором был создан данный документ.

Новый тип дроппера, прикреплённый к документу, хранился в файле под названием Scr.js. Сценарий после запуска создает системные задачи для закрепления себя в системе и последующей эксфильтрации данных. Также, перед установкой бэкдора, дроппер заранее проверяет устройство на наличие продуктов «Лаборатории Касперского», что неудивительно, учитывая тот факт, что именно «Лаборатория Касперского» первым проанализировала KopiLuwak.

Эксперты также отметили, что исходный код дроппера не обфусцирован и не содержит механизмов, препятствующих его анализу. В более старых версиях KopiLuwak бэкдор сам отвечал за сканирование системы, но позднее данный функционал был перенесён непосредственно в дроппер.

Поскольку анализ Proofpoint основан на файлах, полученных из публичного хранилища вредоносных программ, то до сих пор непонятно, кто именно был целью. Однако, основываясь на теме документа-приманки, можно сделать вывод, что наиболее вероятными целями являлись лица и организации, имеющие непосредственное отношение к саммиту, в частности страны-участницы, политики и журналисты.

Turla проявляет активность с 2007 года и предположительно несет ответственность за несколько громких хакерских атак, в числе прочих и на швейцарское оборонное предприятие RUAG, а также центральное командование вооружённых сил США. Данная хакерская группировка известна также под именами Waterbug, KRYPTON и Venomous Bear, а инструменты их работы под названиями Turla (Snake и Uroburos) и Epic Turla (Wipbot и Tavdig).