Cyberbezpieczeństwo
Rosyjska Turla w nowej kampanii. Backdoor w zaproszeniach
![Rosyjscy cyberprzestępcy nie próżnują](https://cdn.defence24.pl/2024/05/22/800x450px/lvjZTWxjTALn0bwXCuVxw8Ajf8NhFV3UULnvx8i1.gtvf.jpg)
Autor. Standret, Freepik
Rosyjskie grupy APT nie próżnują. Tym razem jedna z nich - Turla - rozsyłała maile ze spreparowanym zaproszeniem od filipińskiego odpowiednika GUS. W ataku wykorzystano interesujące techniki zapobiegania wykrycia przez silniki antywirusowe.
Turla jest znana m.in. z ataków na dyplomatów z Bliskiego Wschodu i Ukrainę. Podejrzewa się ją również o szpiegowanie polskich NGO. Tym razem najprawdopodobniej rozsyłała maile zawierające plik .lnk, który finalnie posłużył do komunikacji z serwerem C2 (ang. Command and Control).
👀👀👀
— Simon Kenin (@k3yp0d) May 9, 2024
005c762a3c39b1114c6521f52acb66c3
19d576e1a7c0c7e6dae6dce79743db5f2defa79f
cac4d4364d20fa343bf681f6544b31995a57d8f69ee606c4675db60be5ae8775
Advisory23-UCDMS04-11-01.pdf.lnk pic.twitter.com/gqLTNwCfek
![Analiza jednego z plików na VirusTotal](https://cdn.defence24.pl/2024/05/22/780xpx/dkLn2yQ8S33mSRHzKv7Sa6nSCCLBGdgkChLyyij0.wsjk.png, https://cdn.defence24.pl/2024/05/22/1920xpx/dkLn2yQ8S33mSRHzKv7Sa6nSCCLBGdgkChLyyij0.vnfk.png 2x)
Autor. https://www.virustotal.com/gui/file/cac4d4364d20fa343bf681f6544b31995a57d8f69ee606c4675db60be5ae8775
Czytaj też
Infekcja malware
Samo dostarczenie złośliwego oprogramowania nie było niczym nadzwyczajnym, ponieważ cyberprzestępcy wykorzystali do tego phishing.
Zgodnie z analizą Cyble – Turla dostarczała ofiarom ataku archiwa w formacie ZIP. Po rozpakowaniu widoczny był plik PDF, który faktycznie miał rozszerzenie .lnk. Po otworzeniu pliku wykonywane były polecenia PowerShella, które m.in. zapisywały dane z pliku .lnk do trzech innych plików. W łańcuchu infekcji wykorzystywane są również microsoftowe MSBuild.exe i harmonogram zadań (Task Scheduler).
Cały proces składa się z wielu etapów, opisanych przez Cyble w infografice.
![Proces infekcji malware](https://cdn.defence24.pl/2024/05/22/780xpx/khPMOyjyd48XKMpHD5UDAtG82lynrdPvpXaYRMRE.rbzu.png, https://cdn.defence24.pl/2024/05/22/1920xpx/khPMOyjyd48XKMpHD5UDAtG82lynrdPvpXaYRMRE.xybw.png 2x)
Autor. https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection/
Czytaj też
Działanie backdoora
Finalnym krokiem jest dodanie do harmonogramu zadań wpisu, który wykonuje plik nJUFcFfUF.log z wykorzystaniem MSBuild.exe.
Po wykonaniu tego zadania zostanie nawiązane połączenie z serwerem C2, który otrzymuje również unikalny identyfikator urządzenia. Składa się on z nazwy domeny, nazwy użytkownika i ID obecnego procesu.
Co ciekawe, w plikach można znaleźć oryginalne rosyjskie komentarze.
![Wycinek kodu](https://cdn.defence24.pl/2024/05/22/780xpx/YijterKolilRLnobZo7KpsvakjIR1Vy8yIGZbtIP.nqz4.png, https://cdn.defence24.pl/2024/05/22/1920xpx/YijterKolilRLnobZo7KpsvakjIR1Vy8yIGZbtIP.7cso.png 2x)
Autor. https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection/
Najprawdopodobniej Turla korzysta z serwera przejętego od jednej z filipińskich gazet.
Czytaj też
Walka z malware
Podane zostały IOC, czyli indykatory pozwalające m.in. wykryć istnienie złośliwych plików w systemie. Zostały również opublikowane reguły YARA, które umożliwiają błyskawiczne reagowanie osobom odpowiedzialnym za bezpieczeństwo.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].