Cyberbezpieczeństwo
Rosyjska Turla w nowej kampanii. Backdoor w zaproszeniach
Rosyjskie grupy APT nie próżnują. Tym razem jedna z nich - Turla - rozsyłała maile ze spreparowanym zaproszeniem od filipińskiego odpowiednika GUS. W ataku wykorzystano interesujące techniki zapobiegania wykrycia przez silniki antywirusowe.
Turla jest znana m.in. z ataków na dyplomatów z Bliskiego Wschodu i Ukrainę. Podejrzewa się ją również o szpiegowanie polskich NGO. Tym razem najprawdopodobniej rozsyłała maile zawierające plik .lnk, który finalnie posłużył do komunikacji z serwerem C2 (ang. Command and Control).
👀👀👀
— Simon Kenin (@k3yp0d) May 9, 2024
005c762a3c39b1114c6521f52acb66c3
19d576e1a7c0c7e6dae6dce79743db5f2defa79f
cac4d4364d20fa343bf681f6544b31995a57d8f69ee606c4675db60be5ae8775
Advisory23-UCDMS04-11-01.pdf.lnk pic.twitter.com/gqLTNwCfek
Czytaj też
Infekcja malware
Samo dostarczenie złośliwego oprogramowania nie było niczym nadzwyczajnym, ponieważ cyberprzestępcy wykorzystali do tego phishing.
Zgodnie z analizą Cyble – Turla dostarczała ofiarom ataku archiwa w formacie ZIP. Po rozpakowaniu widoczny był plik PDF, który faktycznie miał rozszerzenie .lnk. Po otworzeniu pliku wykonywane były polecenia PowerShella, które m.in. zapisywały dane z pliku .lnk do trzech innych plików. W łańcuchu infekcji wykorzystywane są również microsoftowe MSBuild.exe i harmonogram zadań (Task Scheduler).
Cały proces składa się z wielu etapów, opisanych przez Cyble w infografice.
Czytaj też
Działanie backdoora
Finalnym krokiem jest dodanie do harmonogramu zadań wpisu, który wykonuje plik nJUFcFfUF.log z wykorzystaniem MSBuild.exe.
Po wykonaniu tego zadania zostanie nawiązane połączenie z serwerem C2, który otrzymuje również unikalny identyfikator urządzenia. Składa się on z nazwy domeny, nazwy użytkownika i ID obecnego procesu.
Co ciekawe, w plikach można znaleźć oryginalne rosyjskie komentarze.
Najprawdopodobniej Turla korzysta z serwera przejętego od jednej z filipińskich gazet.
Czytaj też
Walka z malware
Podane zostały IOC, czyli indykatory pozwalające m.in. wykryć istnienie złośliwych plików w systemie. Zostały również opublikowane reguły YARA, które umożliwiają błyskawiczne reagowanie osobom odpowiedzialnym za bezpieczeństwo.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany