«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
10 января 2018 7748

Скрытая угроза. Новый бэкдор маскируется под Flash Player

Специалисты ESET обнаружили новый метод компрометации рабочих станций, который использует кибергруппа Turla. Данная техника применяется в атаках, нацеленных на сотрудников посольств и консульств стран постсоветского пространства.

Группа Turla специализируется на операциях кибершпионажа. Ее жертвами становились крупные организации из Европы и США, в 2016 году хакеры провели атаку на швейцарский оборонный холдинг RUAG. Характерные для Turla методы – атаки типа watering hole и целевой фишинг. Но, как показало новое исследование ESET, группа совершенствует инструментарий.

Хакеры Turla объединили в пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрили специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe. Данные меры заставляют потенциальную жертву поверить, что она скачивает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности – подмена легитимного установщика вредоносным производится на одном из этапов пути от серверов Adobe к рабочей станции.

Специалисты ESET предполагают, что подобная атака может производиться следующими способами:

- Одна из машин в корпоративной сети жертвы может быть взломана, чтобы использоваться в качестве плацдарма для локальной атаки Man-in-the-Middle (MitM). Далее в ходе атаки трафик компьютера жертвы будет перенаправлен на скомпрометированную машину в локальной сети.

- Атакующие могут скомпрометировать сетевой шлюз организации для перехвата входящего и исходящего трафика между корпоративной сетью и интернетом.

- Перехват трафика может производиться на уровне интернет-провайдера (ISP) – тактика известна из недавнего исследования ESET, посвященного кибершпионажу. Известные жертвы находятся в разных странах и, по данным ESET, используют услуги минимум четырех провайдеров.

- Хакеры могут выполнить атаку на BGP-маршрутизаторы (Border Gateway Protocol hijacking) для перенаправления трафика на контролируемый ими сервер, хотя эта тактика, скорее всего, привлекла бы внимание систем мониторинга.

После запуска поддельного инсталлятора Flash Player на компьютер жертвы будет установлен один из бэкдоров группы Turla. Это может быть одна из версий Windows-бэкдора Mosquito, вредоносный файл JavaScript или неизвестный файл, загруженный с фиктивного и несуществующего URL-адреса Adobe.

Далее выполняется основная задача – эксфильтрация конфиденциальных данных. Атакующие получают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу.
  
На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.

Новый инструмент используется в атаках минимум с июля 2016 года. Связь с Turla установлена на основании нескольких признаков, включающих использование бэкдора Mosquito и нескольких IP-адресов, ранее отнесенных к данной кибергруппе.

Важно подчеркнуть, что в ESET исключают сценарии, связанные с компрометацией Adobe. Вредоносные программы группа Turla не были внедрены в какие-либо легитимные обновления Flash Player и не связаны с известными уязвимостями продуктов Adobe. Практически исключена также компрометация веб-сайта загрузки Adobe Flash Player.

Более подробная информация о Turla представлена в новом отчете.

Комментарии

6
Оставьте комментарий!
Андрей Черепнин 7 февраля 2018 в 09:51 #
вот зачем воровать у обычных людей которые не могут нормально заработать
Антон Тарасов 7 февраля 2018 в 11:14 #
Массовые взломы по копеечке собирают огромные суммы 18
Сергей Ткаченко 17 февраля 2018 в 13:18 #
В статье слово "легитимный" будто употребляется в смысле "официальный, законный", хотя ещё со школы помню, что смысл у него один: "легитимный" - это обладающий поддержкой со стороны народа, т.е. имеющий общественную поддержку, доверие. Думаю здесь некорректное употребление данного слова.
Антон Тарасов 19 февраля 2018 в 12:06 #
Сходу сложно вспомнить слово, у которого был бы один единственный смысл. В данном контексте, "легитимный" значит "законный", "на законных основаниях", "настоящий".
Сергей Ткаченко 19 февраля 2018 в 19:35 #
Чтож, у меня нет компетенций для спора по данной тематике, однако кое-что ответить хочу. Да, смысл "легитимности" из контекста понятен, что вы и подтвердили, и, безусловно, слов с единственным смыслом навскидку я с трудом найду в количестве пальцев одной руки) Всё же вопрос из моего обращения срезонировал во мне и для праздного любопытства и был изложен здесь. Думал ответ найдётся быстро. Спасибо вам за внимание .
Антон Тарасов 20 февраля 2018 в 15:30 #
Спасибо вам за содержательный комментарий! Всегда полезно получить аргументированную оценку, чтобы взглянуть на текст с другой перспективы 1