Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про поширення нових інструментів на основі PowerShell групою кіберзлочинців Turla. Зокрема спеціалістами ESET було виявлено декілька атак на дипломатичні установи в Східній Європі.
Використання сценаріїв PowerShell дозволяє кіберзлочинцям безпосередньо завантажувати в пам’ять та здійснювати виконання шкідливих файлів та бібліотек. Завдяки цим інструментам, Turla може обійти методи виявлення під час завантаження шкідливого програмного забезпечення на диск.
«Разом з новим завантажувачем на основі PowerShell компанії Turla було виявлено та проаналізовано декілька цікавих компонентів, включаючи бекдор на основі RPC та бекдор PowerShell, що використовують сервіс хмарних сховищ OneDrive від Microsoft як власний командний сервер», — розповідають дослідники ESET.
Завантажувачі на основі PowerShell, виявлені спеціалістами ESET, відрізняються від простих бекдорів своєю здатністю залишатися в системі якомога довше, оскільки вони регулярно завантажують в пам'ять лише вбудовані виконувані файли. У деяких зразках кіберзлочинці Turla змінили свої сценарії PowerShell для обходу захисного механізму AMSI (Antimalware Scan Interface). Даний прийом ускладнює можливість отримання деякими антивірусами даних з інтерфейсу AMSI для сканування.
«Проте ці методи не перешкоджають виявленню актуальних шкідливих компонентів у пам'яті», — пояснюють спеціалісти ESET.
Серед компонентів, які нещодавно використовувалися компанією Turla, також виокремлюють набір бекдорів на основі протоколу RPC. Ці бекдори виконують додаткові дії та здійснюють управління іншими пристроями в локальній мережі без використання зовнішнього командного сервера.
Варто зазначити, що шпигунська група Turla, також відома як Snake, використовує складне шкідливе програмне забезпечення для атак на організації державного значення. Вважається, що їх діяльність почалася з атаки на Збройні сили США у 2008 році. Також зловмисники здійснювали численні атаки на урядові установи в Європі та на Близькому Сході. Серед їхніх цілей — Міністерство закордонних справ Німеччини та Збройні сили Франції.
Спеціалісти компанії ESET постійно аналізують та вдосконалюють інструменти захисту для своєчасного виявлення загроз та забезпечення надійного захисту користувачів від найсучасніших видів шкідливих програм.
Детальнішу інформацію про загрозу та індикатори компрометації можна знайти за посиланням.