Группа киберпреступников Turla использует новый бэкдор для атаки пользователей

Компания ESET — лидер в области информационной безопасности — сообщает о распространении новых инструментов на основе PowerShell злоумышленниками Turla. В частности, недавно специалистами ESET было обнаружено несколько атак на дипломатические учреждения в Восточной Европе.

Использование сценариев PowerShell позволяет киберпреступникам напрямую загружать в память и осуществлять выполнение вредоносных файлов и библиотек. Благодаря этим инструментам, Turla может обойти методы выявления во время загрузки вредоносного программного обеспечения на диск.

Новые инструменты бэкдора Turla обходят методы выявления вредоносного ПО – ESET.

 «Вместе с новым загрузчиком на основе PowerShell компании Turla были выявлены и проанализированы несколько компонентов, включая бэкдор на основе RPC и бэкдор PowerShell, использующие сервис облачных хранилищ OneDrive от Microsoft как собственный командный сервер», — рассказывают исследователи ESET.

Загрузчики на основе PowerShell, обнаруженные специалистами ESET, отличаются от простых бэкдоров своей способностью оставаться в системе как можно дольше, поскольку они регулярно загружают в память только встроенные исполняемые файлы. В некоторых образцах киберпреступники Turla изменили свои сценарии PowerShell для обхода защитного механизма AMSI (Antimalware Scan Interface). Данный прием затрудняет возможность получения некоторыми антивирусами данных с интерфейса AMSI для сканирования.

«Однако эти методы не препятствуют выявлению актуальных вредоносных компонентов в памяти», —  объясняют специалисты ESET.

Среди компонентов, которые недавно использовались компанией Turla, также выделяют набор бэкдоров на основе протокола RPC. Эти бэкдоры выполняют дополнительные действия и осуществляют управление другими устройствами в локальной сети без использования внешнего командного сервера.

Шпионская группа с помощью бэкдора атакует госструктуры европейских стран – ESET.

Стоит отметить, что шпионская группа Turla, также известная как Snake, использует сложное вредоносное программное обеспечение для атак на организации государственного значения. Считается, что их деятельность началась с атаки на Вооруженные силы США в 2008 году. Также злоумышленники осуществляли многочисленные атаки на правительственные учреждения в Европе и на Ближнем Востоке. Среди их целей — Министерство иностранных дел Германии и Вооруженные силы Франции.

Специалисты компании ESET постоянно анализируют и усовершенствуют инструменты защиты для своевременного выявления угроз и обеспечения надежной защиты пользователей от современных видов вредоносных программ.

Подробную информацию об угрозе и индикаторы компрометации можно найти по ссылке.

Защита детей онлайн со скидкой 20%!

Только до 21 июня!

Узнать больше