Меню
Поиск

Киберпреступники Turla для маскировки используют скрипты PowerShell

30 май, 2019 - 10:45

По данным аналитиков Eset, в недавних атаках киберпреступники группировки Turla начали применять скрипты PowerShell, которые усложняют обнаружение вредоносных программ и сохраняют повышенную персистентность.

Недавно Eset зафиксировала несколько кибератак на дипломатические учреждения в Восточной Европе. Во всех случаях использовались скрипты PowerShell, которые позволяют загружать и запускать вредоносные программы прямо в памяти.

Этот способ более эффективен для сокрытия вредоносной активности по сравнению с традиционным сохранением исполняемого файла на диск. Эксперты Eset отмечают, что PowerShell-скрипты являются неотъемлемыми компонентами, позволяющими загрузить RPC- и PowerShell-бэкдоры.

Ранее киберпреступники уже пытались использовать загрузчики PowerShell, однако вредоносную кампанию не удалось реализовать из-за многочисленных багов. Сейчас Turla улучшила скрипты и теперь использует их для загрузки широкого спектра разнообразных вредоносных программ.

Несмотря на использование скриптов PowerShell, антивирусные продукты по-прежнему могут детектировать вредоносную полезную нагрузку. Эксперты выделяют два вида бэкдоров, один из которых получает контроль над устройствами локальной сети без привязки к внешнему C&C-серверу (бэкдор на базе RPC-протокола). Другой, PowerStallion, использует хранилище Microsoft OneDrive в качестве C&C-сервера.

Любопытно, что в новых атаках группировка использует бесплатный сервис электронной почты GMX.

Eset уверена, что использование средства с открытым исходным кодом (язык PowerShell) не означает, что группировка откажется от своих традиционных инструментов. Более того, киберпреступники скорее продолжат их совершенствование.

Группировка Turla получила известность в 2008 г., после взлома сети Центрального командования Вооруженных сил США. Цель киберпреступников – кража конфиденциальных данных, представляющих стратегическую важность. Жертвами в разные годы становились Министерство иностранных дел Финляндии (2013), правительство Германии (2017).