Reklama

Cyberbezpieczeństwo

Rosyjska Turla w nowej kampanii. Backdoor w zaproszeniach

Rosyjscy cyberprzestępcy nie próżnują
Rosyjscy cyberprzestępcy nie próżnują
Autor. Standret, Freepik

Rosyjskie grupy APT nie próżnują. Tym razem jedna z nich - Turla - rozsyłała maile ze spreparowanym zaproszeniem od filipińskiego odpowiednika GUS. W ataku wykorzystano interesujące techniki zapobiegania wykrycia przez silniki antywirusowe.

Turla jest znana m.in. z ataków na dyplomatów z Bliskiego Wschodu i Ukrainę. Podejrzewa się ją również o szpiegowanie polskich NGO. Tym razem najprawdopodobniej rozsyłała maile zawierające plik .lnk, który finalnie posłużył do komunikacji z serwerem C2 (ang. Command and Control).

Analiza jednego z plików na VirusTotal
Analiza jednego z plików na VirusTotal
Autor. https://www.virustotal.com/gui/file/cac4d4364d20fa343bf681f6544b31995a57d8f69ee606c4675db60be5ae8775

Czytaj też

Reklama

Infekcja malware

Samo dostarczenie złośliwego oprogramowania nie było niczym nadzwyczajnym, ponieważ cyberprzestępcy wykorzystali do tego phishing.

Zgodnie z analizą Cyble – Turla dostarczała ofiarom ataku archiwa w formacie ZIP. Po rozpakowaniu widoczny był plik PDF, który faktycznie miał rozszerzenie .lnk. Po otworzeniu pliku wykonywane były polecenia PowerShella, które m.in. zapisywały dane z pliku .lnk do trzech innych plików. W łańcuchu infekcji wykorzystywane są również microsoftowe MSBuild.exe i harmonogram zadań (Task Scheduler).

Cały proces składa się z wielu etapów, opisanych przez Cyble w infografice.

Proces infekcji malware
Proces infekcji malware
Autor. https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection/

Czytaj też

Reklama

Działanie backdoora

Finalnym krokiem jest dodanie do harmonogramu zadań wpisu, który wykonuje plik nJUFcFfUF.log z wykorzystaniem MSBuild.exe.

Po wykonaniu tego zadania zostanie nawiązane połączenie z serwerem C2, który otrzymuje również unikalny identyfikator urządzenia. Składa się on z nazwy domeny, nazwy użytkownika i ID obecnego procesu.

Co ciekawe, w plikach można znaleźć oryginalne rosyjskie komentarze.

Wycinek kodu
Wycinek kodu
Autor. https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection/

Najprawdopodobniej Turla korzysta z serwera przejętego od jednej z filipińskich gazet.

Czytaj też

Reklama

Walka z malware

Podane zostały IOC, czyli indykatory pozwalające m.in. wykryć istnienie złośliwych plików w systemie. Zostały również opublikowane reguły YARA, które umożliwiają błyskawiczne reagowanie osobom odpowiedzialnym za bezpieczeństwo.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama

Komentarze

    Reklama