29 мая 2019 1446

Вооружились до скриптов. Хакеры используют новые инструменты взлома

Недавно специалисты по безопасности ESET зафиксировали несколько кибератак хакерской группировки Turla на дипломатические учреждения в Восточной Европе. Во всех случаях киберпреступники использовали скрипты PowerShell, которые усложняют обнаружение вредоносных программ и запускают их прямо в памяти. 

Этот способ более эффективен для сокрытия вредоносной активности по сравнению с традиционным сохранением исполняемого файла на диск. Эксперты ESET отмечают, что PowerShell-скрипты являются неотъемлемыми компонентами, позволяющими загрузить RPC- и PowerShell-бэкдоры.


Ранее киберпреступники уже пытались использовать загрузчики PowerShell, однако вредоносную кампанию не удалось реализовать из-за многочисленных багов. Сейчас Turla улучшила скрипты и теперь использует их для загрузки широкого спектра разнообразных вредоносных программ.


«Мы обнаружили и изучили не только новый загрузчик PowerShell, но и несколько вариантов полезной нагрузки», — рассказывает антивирусный эксперт ESET Матье Фау.


Несмотря на использование скриптов PowerShell, антивирусные продукты по-прежнему могут детектировать вредоносную полезную нагрузку. Эксперты выделяют два вида бэкдоров, один из которых получает контроль над устройствами локальной сети без привязки к внешнему C&C-серверу (бэкдор на базе RPC-протокола).


Другой, PowerStallion, использует хранилище Microsoft OneDrive в качестве C&C-сервера. «Мы считаем, что этот бэкдор помогает восстанавливать доступ в случаях, когда основные вредоносные программы заблокированы и не имеют доступ к скомпрометированным компьютерам», — полагает эксперт ESET Матье Фау.


Любопытно, что в новых атаках группировка использует бесплатный сервис электронной почты GMX.


ESET уверена, что использование средства с открытым исходным кодом (язык PowerShell) не означает, что группировка откажется от своих традиционных инструментов. Более того, киберпреступники скорее продолжат их совершенствование.


Решения ESET успешно детектируют угрозы как PowerShell/Turla.T, Win64/Turla.BQ, Win64/Turla.BQ, Win32/Turla.BZ, Win64/Turla.BS, Win64/Turla.BR.


Группировка Turla получила известность в 2008 году, после взлома сети Центрального командования Вооруженных сил США. Цель киберпреступников — кража конфиденциальных данных, представляющих стратегическую важность. Жертвами в разные годы становились Министерство иностранных дел Финляндии (2013), правительство Германии (2017).


Подробнее — в блоге ESET.

Комментарии

0
Оставьте комментарий!