НОВОСТИ   ТОП   ТЕМЫ   ВИДЕО   СЕГОДНЯ 
НОВОСТИ / 2017 / 06 / 08 / ESET ОБНАРУЖИЛА НОВЫЙ ИНСТРУМЕНТ ИЗ АРСЕНАЛА КИБЕРГРУППИРОВКИ TURLA

ESET обнаружила новый инструмент из арсенала кибергруппировки Turla

12:52 08.06.2017 - @Astera

ESET обнаружила новый инструмент из арсенала кибергруппировки Turla. Хакеры используют вредоносное расширение для Firefox, которое взаимодействует с управляющим сервером через аккаунт Бритни Спирс в Instagram.

Кибергруппа Turla специализируется на операциях кибершпионажа, ее основные цели - правительственные и дипломатические учреждения. Жертвами Turla становились крупные организации из Европы и США, в 2016 году хакеры провели атаку на швейцарский оборонный холдинг RUAG.

Типичный для Turla метод атаки - watering hole - компрометация сайтов, посещаемых потенциальными жертвами.

Когда пользователь заходит на взломанный сайт, ему предлагается установить расширение для Firefox - HTML5 Encoding. Это вредоносное расширение использует интересный способ обращения к управляющему С&С-серверу - через соцсети.

В отличие от ряда вредоносных инструментов, содержащих URL С&С-сервера в коде, HTML5 Encoding получает его адрес извне - из комментариев к определенным постам в Instagram. Образец, изученный в ESET, использовал для этого комментарии к фото Бритни Спирс в ее официальном аккаунте.

Расширение изучает комментарии и вычисляет индивидуальное значение хеша для каждого из них. Обнаружив комментарий с хеш-суммой, равной 183, программа извлекает адрес сервера в виде короткой ссылки, полученной с помощью сервиса Bit.ly.

Получив доступ к командному C&C-серверу, расширение собирает информацию о зараженной системе и передает данные операторам. Программа выполняет следующие типы команд:

исполнить произвольный файл в системе
загрузить файл на сервер C&C
скачать файл с сервера C&C
прочитать содержимое директории и переслать список файлов на сервер C&C

Использование социальных сетей в атаках создает дополнительные сложности в построении защиты. Трафик от соцсетей, связанный с деятельностью злоумышленников, сложно отличить от легитимного. Кроме того, метод обеспечивает хакерам большую гибкость - они могут оперативно менять адреса командных серверов и удалять их следы.

теги:  Хакеры

ПРОСМОТРОВ: 50
 17/08/2017   info@idtech.biz   Мы на Facebook и ВКонтакте.
Все права на материалы принадлежат их авторам и источникам, указанным под заголовками новостей.
Рейтинг@Mail.ru RSS