Компанія ESET — лідер у галузі інформаційної безпеки — виявила нову активність групи Turla, яка спрямована на урядові веб-сайти. Цього разу кіберзлочинці застосовують методи соціальної інженерії, використовуючи фальшиве оновлення Adobe Flash як приманку для завантаження шкідливого програмного забезпечення.
У цих атаках типу «watering hole» Turla інфікувала щонайменше чотири веб-сайти, з них два належать уряду Вірменії. Таким чином, цілком імовірно, що цілями кіберзлочинців були урядовці та політики. Нагадаємо, атаки виду «watering hole» передбачають, що зловмисники інфікують шкідливим програмним забезпеченням сайти, які часто відвідуються їх потенційними жертвами.
«Якщо відвідувач цікавий для кіберзлочинців, командний сервер (C&C) відповідає фрагментом коду JavaScript, який створює IFrame. За даними телеметрії ESET, в рамках кампанії «watering hole» операторам Turla цікавими була обмежена кількість відвідувачів», — коментують дослідники ESET.
«Користувачам відображається фальшиве спливаюче вікно з нібито оновленням Adobe Flash для того, щоб заманити жертву завантажити шкідливий інсталятор. Спроба інфікування покладається виключно на методи соціальної інженерії», — додають дослідники ESET.
У цій кампанії Turla використовує абсолютно новий бекдор, який отримав назву PyFlash. На думку спеціалістів ESET, в цьому шкідливому програмному забезпеченні автори Turla вперше використали мову Python. Командний сервер надсилає бекдору команди для завантаження файлів, виконання команд Windows, а також запуск або видалення шкідливого програмного забезпечення. «Фінальний компонент змінився, ймовірно, з метою уникнення виявлення», — пояснюють спеціалісти ESET.
Дослідження ESET показало, що ці веб-сайти були інфіковані щонайменше з початку 2019 року. Спеціалісти ESET попередили національний підрозділ CERT Вірменії та поділилися з ними аналізом перед публікацією дослідження.
Варто зазначити, що група кіберзлочинців Turla активна вже понад 10 років. Основними її цілями є урядові та військові організації. Ці нещодавні атаки типу «watering hole» мають ряд подібних особливостей з деякими попередніми кампаніями групи.
Детальніше про нові атаки виду «watering hole» групи Turla та ідентифікатори компрометації можна переглянути за посиланням.