0 |
Компания Eset обнаружила новую активность группы Turla, которая направлена на правительственные сайты. На этот раз киберпреступники применяют методы социальной инженерии, используя фальшивое обновление Adobe Flash в качестве приманки для загрузки вредоносного ПО.
В этих атаках типа «watering hole» (водопой) Turla инфицировала минимум четыре веб-сайта, из них два принадлежат правительству Армении. Таким образом, вполне вероятно, что целями киберпреступников были чиновники и политики. Напомним, атаки вида watering hole предполагают, что злоумышленники заражают вредоносным ПО сайты, часто посещаемые их потенциальными жертвами.
«Если посетитель интересен киберпреступникам, командный сервер (C&C) отвечает фрагментом кода JavaScript, который создает iFrame. По данным телеметрии Eset, в рамках кампании watering hole операторов Turla интересовал ограниченный круг посетителей», – комментируют исследователи Eset.
«Пользователям отображается фальшивое всплывающее окно с якобы обновлением Adobe Flash для того, чтобы заманить жертву загрузить вредоносный инсталлятор. Попытка заражения базируются исключительно на методах социальной инженерии», – добавляют исследователи Eset.
В этой кампании Turla использует совершенно новый бэкдор, который получил название PyFlash. По мнению специалистов Eset, в этом вредоносе авторы Turla впервые использовали язык Python. Командный сервер посылает бэкдору команды для загрузки файлов, выполнения команд Windows, а также запуска и удаления вредоносного ПО. «Финальный компонент изменился, вероятно, с целью избежания обнаружения», – объясняют специалисты Eset.
Исследование Eset показало, что эти сайты были заражены минимум с начала 2019 г. Специалисты Eset предупредили национальное подразделение CERT Армении и поделились с ними анализом перед публикацией исследования.
Стоит отметить, что группа киберпреступников Turla активна уже более 10 лет. Основными ее целями являются правительственные и военные организации. Эти недавние атаки типа watering hole имеют ряд особенностей с некоторыми предыдущими кампаниями группы.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |