Turla вооружилась новым вредоносным ПО

image

Теги: целевая атака, Turla, APT, Лаборатория Касперского

Для распространения новых модулей преступники используют легитимные установщики ПО, зараженные дроппером «Topinambour».

Киберпреступная группировка Turla обновила свой арсенал набором инструментов для атак на правительственные структуры. В частности, злоумышленники используют дроппер под названием «Topinambour», используемый на первой стадии атак. После установки он загружает на систему другие вредоносные программы, используемые Turla для доступа к целевым сетям и извлечения данных.

По информации «Лаборатории Касперского», для распространения новых модулей преступники используют легитимные установщики ПО, зараженные дроппером «Topinambour». Это могут быть инструменты для обхода интернет-цензуры, такие как Softether VPN 4.12 и psiphon3, или активаторы Microsoft Office. Последние используются пиратами для активации пакета Microsoft Office без необходимости покупать ключ.

Русскоговорящая хакерская группировка Turla (Snake, Venomous Bear, Waterbug и Uroboros) известна своими атаками на западные правительства, а также посольства и консульства в странах постсоветского пространства.

«Topinambour» содержит «крошечный .NET шелл», который ожидает команды от C&C-сервера и выполняет их. Сама C&C-инфраструктура размещена на скомпрометированных сайтах на WordPress и облачных сервисах. С помощью команд «net use» и «copy» операторы кампании распространяют вредоносные модули следующего этапа — инструмент KopiLuwak, а также новые трояны MiamiBeach и RocketMan!, написанные на языках PowerShell и .NET.

MiamiBeach и RocketMan! загружают, скачивают и исполняют файлы, а также собирают информацию о системе. Кроме того, PowerShell-версия также способна делать снимки экрана. Также они загружают конечный более сложный вредоносный модуль, который может выполнять команды, полученные с C&C-сервера.

По мнению исследователей, создание похожих по функционалу троянов на разных языках может быть связано с защитой от обнаружения. Если на компьютере будет обнаружена одна версия, то операторы могут прибегнуть к аналогу на другом языке. Причиной разработки аналогов KopiLuwak может быть минимизация рисков обнаружения известных JavaScript-версий троянов.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.