Новый троян-бэкдор, развернутый в кампании кибершпионажа, нацеленной на посольства

Группа кибершпионажа, которая, как считается, последние два десятилетия действовала за пределами России, развернула новый троян-бэкдор на компьютерах посольств в Юго-Восточной Европе, бывших советских республиках и некоторых странах Южной Америки.

Эту кибершпионажную группу называют Turla, она является одной из самых активных, активных и активных в настоящее время при поддержке государства.

Спустя годы охранные фирмы связали эту группу с несколькими семействами вредоносных программ. Большинство семейств использовалось в небольшом количестве кампаний, и операторы Turla обычно развертывали новые инструменты для каждой кампании.

Группа Turla разработала новый бэкдор

В прошлом мы видели, как Turla использует такие вредоносные программы, как Skipper, Carbon и Kazuar. Злоумышленники компрометируют цель и развертывают бэкдор первого уровня ( Skipper ), который они позже используют для установки бэкдора второго уровня – обычно Carbon или Kazuar [ 1 , 2 ].

В течение 2016 и 2017 годов ESET и Kaspersky заявили, что они обнаружили новые атаки Turla, которые развернули другой бэкдор второго уровня вместе с классическим Skipper. Компания ESET назвала этот бэкдор Gazer .

Исследователи говорят, что большую часть 2016 года они обнаружили, что Gazer установлен на взломанных компьютерах в различных посольствах и дипломатических / иностранных делах, но в 2017 году операторы Turla переключились на нацеливание на организации, связанные с обороной.

Осмысление недавних атак Turla

Эти атаки Касперский отслеживал с помощью бэкдора Gazer в отчете WhiteBear . Атаки с использованием бэкдоров Kazuar и Carbon отслеживаются как WhiteAtlas, а также подробно описаны в отчете Bitdefender о кампании Pacifier APT .

ESET и Kaspersky связали атаки Gazer (WhiteBear) с кампанией Kazuar / Carbon (WhiteAtlas), поскольку они использовали общую инфраструктуру и схожие методы. ESET подробно объясняет ниже.

Gazer, Carbon и Kazuar могут получать зашифрованные задачи с C&C сервера, которые могут выполняться либо на зараженной машине, либо на другой машине в сети. Все они используют зашифрованный контейнер для хранения компонентов и конфигурации вредоносного ПО, а также регистрируют свои действия в файле.

Список C&C серверов зашифрован и встроен в PE-ресурсы Gazer. Все они являются скомпрометированными, законными веб-сайтами (которые в основном используют WordPress CMS), которые действуют как прокси-сервер первого уровня. Это также обычная тактика для APT-группы Turla.

Еще одна интересная связь заключается в том, что один из C&C серверов, встроенных в образец Gazer, как известно, использовался в бэкдоре JScript, задокументированном Kaspersky как Kopiluak.

И последнее, но не менее важное: эти три семейства вредоносных программ (Gazer, Carbon и Kazuar) имеют аналогичный список процессов, которые могут использоваться в качестве цели для внедрения модуля, используемого для связи с сервером C&C, встроенным в двоичный файл.
Этот новый инструмент еще раз показывает, что Turla намного превосходит большинство других кибершпионажных групп, когда дело доходит до изощренности.

В то время как некоторые APT используют инструменты GitHub с открытым исходным кодом, операторы Turla вкладывают время и деньги в разработку новых инструментов, которые позволяют им оставаться незамеченными на зараженных хостах в течение гораздо более длительных периодов времени. Например, атаки Gazer отслеживались до февраля 2016 года, но только недавно исследователи смогли связать их с операциями Turla. Как и прежде, эксперты ожидают, что Turla создаст и развернет новый инструмент, который заменит Gazer.

По материалам: https://socamp.ru/

Оставьте комментарий