Вооружились до скриптов: ESET изучила новый арсенал хакерской группировки Turla

Международная антивирусная компания ESET обнаружила новые инструменты группировки Turla. В недавних атаках киберпреступники начали применять скрипты PowerShell, которые усложняют обнаружение вредоносных программ и сохраняют повышенную персистентность.

Недавно ESET зафиксировала несколько кибератак на дипломатические учреждения в Восточной Европе. Во всех случаях использовались скрипты PowerShell, которые позволяют загружать и запускать вредоносные программы прямо в памяти. 

Этот способ более эффективен для сокрытия вредоносной активности по сравнению с традиционным сохранением исполняемого файла на диск. Эксперты ESET отмечают, что PowerShell-скрипты являются неотъемлемыми компонентами, позволяющими загрузить RPC- и PowerShell-бэкдоры. 

Ранее киберпреступники уже пытались использовать загрузчики PowerShell, однако вредоносную кампанию не удалось реализовать из-за многочисленных багов. Сейчас Turla улучшила скрипты и теперь использует их для загрузки широкого спектра разнообразных вредоносных программ. 

«Мы обнаружили и изучили не только новый загрузчик PowerShell, но и несколько вариантов полезной нагрузки», — рассказывает антивирусный эксперт ESET Матье Фау. 

Несмотря на использование скриптов PowerShell, антивирусные продукты по-прежнему могут детектировать вредоносную полезную нагрузку. Эксперты выделяют два вида бэкдоров, один из которых получает контроль над устройствами локальной сети без привязки к внешнему C&C-серверу (бэкдор на базе RPC-протокола). 

Другой, PowerStallion, использует хранилище Microsoft OneDrive в качестве C&C-сервера. «Мы считаем, что этот бэкдор помогает восстанавливать доступ в случаях, когда основные вредоносные программы заблокированы и не имеют доступ к скомпрометированным компьютерам», — полагает эксперт ESET Матье Фау. 

Любопытно, что в новых атаках группировка использует бесплатный сервис электронной почты GMX. 

ESET уверена, что использование средства с открытым исходным кодом (язык PowerShell) не означает, что группировка откажется от своих традиционных инструментов. Более того, киберпреступники скорее продолжат их совершенствование. 

Решения ESET успешно детектируют угрозы как PowerShell/Turla.T, Win64/Turla.BQ, Win64/Turla.BQ, Win32/Turla.BZ, Win64/Turla.BS, Win64/Turla.BR. 

Группировка Turla получила известность в 2008 году, после взлома сети Центрального командования Вооруженных сил США. Цель киберпреступников — кража конфиденциальных данных, представляющих стратегическую важность. Жертвами в разные годы становились Министерство иностранных дел Финляндии (2013), правительство Германии (2017).

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

24.06.2019 Extreme Networks: будущее за автономными сетями

20.06.2019 Продажи наушников и часов – драйверы рынка носимых устройств

17.06.2019 «Билайн» ставит на привыкание

14.06.2019 Gartner: в 2018 году 75% организаций увеличили инвестиции в технологии customer experience

11.06.2019 Цифра с тормозами. Что мешает развиваться новой индустрии

10.06.2019 МТС делает ставку на цифру

07.06.2019 В ожидании эры беспилотников

06.06.2019 К 2025 году сеть 5G может стать доступной для 60% населения России

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга

25.06.2019 Паруса на связи. Как в Петербурге готовили сеть для полутора миллионов

24.06.2019 Extreme Networks: будущее за автономными сетями

20.06.2019 Продажи наушников и часов – драйверы рынка носимых устройств

17.06.2019 «Билайн» ставит на привыкание

14.06.2019 Gartner: в 2018 году 75% организаций увеличили инвестиции в технологии customer experience

11.06.2019 Цифра с тормозами. Что мешает развиваться новой индустрии

10.06.2019 МТС делает ставку на цифру

07.06.2019 В ожидании эры беспилотников