Cybergang Turla ukrywa szkodliwe narzędzia w programie służącym do obejścia cenzury internetowej

2019-07-15
Badacze z firmy Kaspersky odkryli, że rosyjskojęzyczne cyberugrupowanie Turla udoskonaliło stosowany zestaw narzędzi.

Opakowało swoje szkodliwe oprogramowanie KopiLuwak w pakiet o nazwie Topinambour, stworzyło dwie podobne wersje w innych językach oraz rozprzestrzenia swojego szkodnika za pośrednictwem zainfekowanych aplikacji umożliwiających obejście cenzury. Badacze uważają, że działania te mają na celu zminimalizowanie szansy na wykrycie oraz precyzyjne atakowanie ofiar. Topinambour został zauważony w operacji wymierzonej w podmioty rządowe na początku 2019 r.

Turla to szeroko znane rosyjskojęzyczne cyberugrupowanie stosujące cyberszpiegostwo wobec podmiotów rządowych i dyplomatycznych. Znane jest ze swojej innowacyjności oraz szkodliwego oprogramowania KopiLuwak, po raz pierwszy zaobserwowanego pod koniec 2016 r. W 2019 roku badacze z firmy Kaspersky odkryli nowe narzędzia i techniki wprowadzone przez to cyberugrupowanie w celu zminimalizowania szansy na wykrycie go.

Topinambour (od nazwy warzywa topinambur) to nowy plik .NET wykorzystywany przez ugrupowanie Turla w celu rozprzestrzeniania swojego szkodliwego oprogramowania JavaScript KopiLuwak za pośrednictwem zainfekowanych pakietów instalacyjnych legalnych programów – takich jak VPN – służących do obejścia cenzury internetowej.

KopiLuwak został stworzony do celów cyberszpiegostwa, a najnowszy proces infekcji gangu Turla obejmuje techniki, które pomagają szkodnikowi uniknąć wykrycia. Na przykład infrastruktura sterowania i kontroli posiada adresy IP, które przypominają zwykłe adresy LAN. Ponadto szkodnik jest niemal całkowicie bezplikowy – na ostatnim etapie infekcji zaszyfrowany trojan służący do zapewnienia zdalnej administracji zostaje osadzony w rejestrze komputera, aby w odpowiednim czasie umożliwić dostęp do urządzenia szkodliwemu oprogramowaniu.

Dwa odpowiedniki KopiLuwaka: trojany .NET RocketMan oraz PowerShell MiamiBeach również mają na celu cyberszpiegostwo. Badacze uważają, że wersje te są stosowane w odniesieniu do atakowanych urządzeń, na których zainstalowane jest szkodliwe oprogramowanie zabezpieczające potrafiące wykrywać szkodnika KopiLuwak. W przypadku zakończonej sukcesem instalacji wszystkie trzy wersje potrafią:

badać cele, aby dowiedzieć się, jakiego typu komputer został zainfekowany,
gromadzić informacje dostępne w systemie oraz kartach sieciowych,
kraść pliki,
pobierać i wykonywać dodatkowe szkodliwe oprogramowanie,
MiamiBeach potrafi dodatkowo wykonywać zrzuty ekranu.

W 2019 r. cyberugrupowanie Turla udoskonaliło swój zestaw narzędzi, wprowadzając wiele nowych funkcji, prawdopodobnie w celu zminimalizowania szans na wykrycie go przez rozwiązania zabezpieczające oraz badaczy. Obejmują one zmniejszenie cyfrowego śladu szkodliwego oprogramowania oraz stworzenie dwóch różnych ale podobnych wersji znanego szkodnika o nazwie KopiLuwak. Wykorzystanie pakietów instalacyjnych oprogramowania VPN, które potrafi obejść cenzurę internetową, sugeruje, że atakujący stosują te narzędzia w celu szpiegowania ściśle określonych celów. Ciągła ewolucja arsenału cyberugrupowania Turla przypomina o potrzebie stosowania analizy zagrożeń oraz oprogramowania zabezpieczającego, które potrafi chronić przed najnowszymi narzędziami i technikami stosowanymi przez ugrupowania APT. Na przykład ochrona punktów końcowych oraz sprawdzanie skrótów plików po pobraniu oprogramowania instalacyjnego mogłyby pomóc zabezpieczyć użytkowników przed takimi zagrożeniami jak Topinambour – powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Porady bezpieczeństwa

Badacze z firmy Kaspersky zalecają podjęcie następujących działań pozwalających uchronić się przed wyrafinowanymi operacjami cyberszpiegowskimi:

Wprowadź szkolenia w zakresie zwiększenia świadomości bezpieczeństwa dla personelu, podczas których nauczą się, jak rozpoznawać i unikać potencjalnie szkodliwych aplikacji oraz plików. Na przykład pracownicy powinni wiedzieć, że nie należy pobierać ani uruchamiać żadnych aplikacji ani programów z niezaufanych lub nieznanych źródeł.
W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
Zadbaj o to, aby Twój zespół z centrum operacji bezpieczeństwa posiadał dostęp do najnowszych danych dot. analizy zagrożeń, aby być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami stosowanymi przez ugrupowania cyberprzestępcze.

Więcej informacji na temat nowej aktywności cybergangu Turla znajduje się na stronie https://securelist.com/turla-renews-its-arsenal-with-topinambour/91687/.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.

Redakcja Archnews informuje, że artykuły, fotografie i komentarze publikowane są przez użytkowników "Serwisów skupionych w Grupie Kafito". Publikowane materiały i wypowiedzi są ich własnością i ich prywatnymi opiniami. Redakcja Archnews nie ponosi odpowiedzialności za ich treść.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):

System komentarzy dostarcza serwis eGadki.pl

Serwisy tematyczne Archnews

Spis serwisów tematycznych Archnews >>

Ostatnio dodane artykuły:

HENDRICK’S GRAND CABARET: EKSTRAWAGANCJA W GINOWEJ ODSŁONIE
Hendrick’s przedstawia nową limitowaną edycję ginu Grand Cabaret z Gabinetu Osobliwości Mistrzyni Destylacji Pani Lesley Gracie. To szczególne miejsce, w którym sama Lesley od 2019 roku eksperymentuje i tworzy innowacyjne odmiany ginu Hendrick’s.

Zielony weekend w CH Korona: edukacja, relaks i ekologia
Gotowi na ekologiczną przygodę? W dniach 27-28 kwietnia CH Korona przemieni się w centrum zielonych atrakcji.

Lamele dekoracyjne Lamelio - prosty sposób na spektakularną metamorfozę wnętrza
Różnego rodzaju ryflowania i lamele to dziś bardzo modny element wykończenia wnętrz. Gotowe lamele dekoracyjne Lamelio pozwolą szybko i bez kłopotu uzyskać wyrafinowany efekt. Drewniane listwy na czarnym tle, a może ze złotym akcentem? W Otownetrze.pl znajdziesz lamele do wnętrz w każdym stylu.

więcej »

Najczęściej czytane artykuły:

Wiarygodne i przejrzyste informacje o wpływie produktu na środowisko
Zrównoważone budownictwo w istotny sposób przyczynia się do ochrony środowiska naturalnego. Kluczowe w tym kontekście są oszczędzające zasoby materiały budowlane i instalacyjne, takie jak systemy złączek zaprasowywanych Viega, dla których opracowano już Deklaracje Środowiskowe Produktu (EPD).

Biuro Bayer zainspirowane Oliwą spod kreski Design Anatomy
Biuro jednego z najstarszych rezydentów Olivia Centre przeszło metamorfozę. Dostosowane do najnowszych trendów biuro grupy Bayer powstało w duchu less waste, a opiera się na nowej strategii przestrzeni pracy, obowiązującej w całej grupie.

Na co warto zwracać uwagę w czasie ciąży? Kilka ważnych zasad
W trakcie ciąży należy przestrzegać kilku kluczowych zasad by zadbać o zdrowie swoje i dziecka.

Kultura języka to nasza wizytówka
Warto zadbać o kulturę języka, którym się posługujemy. Jego jakość to nasza wizytówka, dlatego propagujmy poprawne wysławianie się i dbajmy o nasz język.

Udana mediacja w sprawach rodzinnych - szukajmy nowoczesnych rozwiązań na miarę naszych czasów
Nie od dziś wiadomo, że koszty postępowania sądowego w niektórych sprawach mogą być naprawdę wysokie. Im dłużej będzie trwać postępowanie przed sądem, tym więcej może nas to kosztować. W niektórych sytuacjach warto więc korzystać z innych rozwiązań takich jak np. mediacja sądowa.

więcej »