Компания ESET — лидер в области информационной безопасности — обнаружила новую активность группы Turla, которая направлена на правительственные сайты. На этот раз киберпреступники применяют методы социальной инженерии, используя фальшивое обновление Adobe Flash в качестве приманки для загрузки вредоносного программного обеспечения.
В этих атаках типа «watering hole» Turla инфицировала минимум четыре веб-сайты, из них два принадлежат правительству Армении. Таким образом, вполне вероятно, что целями киберпреступников были чиновники и политики. Напомним, атаки вида «watering hole» предполагают, что злоумышленники заражают вредоносным программным обеспечением сайты, часто посещаемые их потенциальными жертвами.
«Если посетитель интересный для киберпреступников, командный сервер (C&C) отвечает фрагментом кода JavaScript, который создает IFrame. По данным телеметрии ESET, в рамках кампании «watering hole» операторам Turla интересным было ограниченное количество посетителей», — комментируют исследователи ESET.
«Пользователям отображается фальшивое всплывающее окно с якобы обновлением Adobe Flash для того, чтобы заманить жертву загрузить вредоносный инсталлятор. Попытка заражения базируются исключительно на методах социальной инженерии», — добавляют исследователи ESET.
В этой кампании Turla использует совершенно новый бэкдор, который получил название PyFlash. По мнению специалистов ESET, в этом вредоносном программном обеспечении авторы Turla впервые использовали язык Python. Командный сервер посылает бэкдору команды для загрузки файлов, выполнения команд Windows, а также запуска и удаления вредоносного программного обеспечения. «Финальный компонент изменился, вероятно, с целью избежания обнаружения», — объясняют специалисты ESET.
Исследование ESET показало, что эти сайты были заражены минимум с начала 2019 года. Специалисты ESET предупредили национальное подразделение CERT Армении и поделились с ними анализом перед публикацией исследования.
Стоит отметить, что группа киберпреступников Turla активна уже более 10 лет. Основными ее целями являются правительственные и военные организации. Эти недавние атаки типа «watering hole» имеют ряд подобных особенностей с некоторыми предыдущими кампаниями группы.
Подробнее о новых атаках вида «watering hole» группы Turla и идентификаторы компрометации можно просмотреть по ссылке.