Рубрикатор |
Все новости | Новости отрасли |
ESET изучила новый арсенал хакерской группировки Turla
29 мая 2019 |
Компания ESET обнаружила новые инструменты группировки Turla. В недавних атаках киберпреступники начали применять скрипты PowerShell, которые усложняют обнаружение вредоносных программ и сохраняют повышенную персистентность.
Недавно ESET зафиксировала несколько кибератак на дипломатические учреждения в Восточной Европе. Во всех случаях использовались скрипты PowerShell, которые позволяют загружать и запускать вредоносные программы прямо в памяти.Этот способ более эффективен для сокрытия вредоносной активности по сравнению с традиционным сохранением исполняемого файла на диск. Эксперты ESET отмечают, что PowerShell-скрипты являются неотъемлемыми компонентами, позволяющими загрузить RPC- и PowerShell-бэкдоры.
Ранее киберпреступники уже пытались использовать загрузчики PowerShell, однако вредоносную кампанию не удалось реализовать из-за многочисленных багов. Сейчас Turla улучшила скрипты и теперь использует их для загрузки широкого спектра разнообразных вредоносных программ.
«Мы обнаружили и изучили не только новый загрузчик PowerShell, но и несколько вариантов полезной нагрузки», — рассказывает антивирусный эксперт ESET Матье Фау.
Несмотря на использование скриптов PowerShell, антивирусные продукты по-прежнему могут детектировать вредоносную полезную нагрузку. Эксперты выделяют два вида бэкдоров, один из которых получает контроль над устройствами локальной сети без привязки к внешнему C&C-серверу (бэкдор на базе RPC-протокола).
Другой, PowerStallion, использует хранилище Microsoft OneDrive в качестве C&C-сервера. «Мы считаем, что этот бэкдор помогает восстанавливать доступ в случаях, когда основные вредоносные программы заблокированы и не имеют доступ к скомпрометированным компьютерам», — полагает эксперт ESET Матье Фау.
Любопытно, что в новых атаках группировка использует бесплатный сервис электронной почты GMX.
ESET уверена, что использование средства с открытым исходным кодом (язык PowerShell) не означает, что группировка откажется от своих традиционных инструментов. Более того, киберпреступники скорее продолжат их совершенствование.
Группировка Turla получила известность в 2008 году, после взлома сети Центрального командования Вооруженных сил США. Цель киберпреступников — кража конфиденциальных данных, представляющих стратегическую важность. Жертвами в разные годы становились Министерство иностранных дел Финляндии (2013), правительство Германии (2017).
Источник: ESET
Читайте также:
В 4 квартале 2023 года хакеры активно атаковали Азию, Ближний Восток и ЕС
Хакеры-профессионалы ищут новые бреши в ИТ-периметрах компаний, а хактивисты повышают квалификацию
Хакеры объединили ботнеты, чтобы совершать мощнейшие разрушительные DDoS-атаки
Хакеры взломали реестр физлиц Аргентины и выставили на продажу данные всего населения страны
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.