Rosyjska Turla w nowej kampanii. Backdoor w zaproszeniach

Turla jest znana m.in. z ataków na dyplomatów z Bliskiego Wschodu i Ukrainę. Podejrzewa się ją również o szpiegowanie polskich NGO. Tym razem najprawdopodobniej rozsyłała maile zawierające plik .lnk, który finalnie posłużył do komunikacji z serwerem C2 (ang. Command and Control).

Infekcja malware

Samo dostarczenie złośliwego oprogramowania nie było niczym nadzwyczajnym, ponieważ cyberprzestępcy wykorzystali do tego phishing.

Zgodnie z analizą Cyble – Turla dostarczała ofiarom ataku archiwa w formacie ZIP. Po rozpakowaniu widoczny był plik PDF, który faktycznie miał rozszerzenie .lnk. Po otworzeniu pliku wykonywane były polecenia PowerShella, które m.in. zapisywały dane z pliku .lnk do trzech innych plików. W łańcuchu infekcji wykorzystywane są również microsoftowe MSBuild.exe i harmonogram zadań (Task Scheduler).

Cały proces składa się z wielu etapów, opisanych przez Cyble w infografice.

Działanie backdoora

Finalnym krokiem jest dodanie do harmonogramu zadań wpisu, który wykonuje plik nJUFcFfUF.log z wykorzystaniem MSBuild.exe.

Po wykonaniu tego zadania zostanie nawiązane połączenie z serwerem C2, który otrzymuje również unikalny identyfikator urządzenia. Składa się on z nazwy domeny, nazwy użytkownika i ID obecnego procesu.

Co ciekawe, w plikach można znaleźć oryginalne rosyjskie komentarze.

Najprawdopodobniej Turla korzysta z serwera przejętego od jednej z filipińskich gazet.

Walka z malware

Podane zostały IOC, czyli indykatory pozwalające m.in. wykryć istnienie złośliwych plików w systemie. Zostały również opublikowane reguły YARA, które umożliwiają błyskawiczne reagowanie osobom odpowiedzialnym za bezpieczeństwo.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].