piątek, 29 marca, 2024

Nasze serwisy:

Więcej

    Cybergang Turla ukrywa szkodliwe narzędzia w programie służącym do obejścia cenzury

    Zobacz również

    Badacze z firmy Kaspersky odkryli, że rosyjskojęzyczne cyberugrupowanie Turla udoskonaliło stosowany zestaw narzędzi. Opakowało swoje szkodliwe oprogramowanie KopiLuwak w pakiet o nazwie Topinambour, stworzyło dwie podobne wersje w innych językach oraz rozprzestrzenia swojego szkodnika za pośrednictwem zainfekowanych aplikacji umożliwiających obejście cenzury. Badacze uważają, że działania te mają na celu zminimalizowanie szansy na wykrycie oraz precyzyjne atakowanie ofiar.

    - Reklama -

    Topinambour został zauważony w operacji wymierzonej w podmioty rządowe na początku 2019 r.

    Turla to szeroko znane rosyjskojęzyczne cyberugrupowanie stosujące cyberszpiegostwo wobec podmiotów rządowych i dyplomatycznych. Znane jest ze swojej innowacyjności oraz szkodliwego oprogramowania KopiLuwak, po raz pierwszy zaobserwowanego pod koniec 2016 r. W 2019 roku badacze z firmy Kaspersky odkryli nowe narzędzia i techniki wprowadzone przez to cyberugrupowanie w celu zminimalizowania szansy na wykrycie go.

    Topinambour (od nazwy warzywa topinambur) to nowy plik .NET wykorzystywany przez ugrupowanie Turla w celu rozprzestrzeniania swojego szkodliwego oprogramowania JavaScript KopiLuwak za pośrednictwem zainfekowanych pakietów instalacyjnych legalnych programów – takich jak VPN – służących do obejścia cenzury internetowej.

    KopiLuwak został stworzony do celów cyberszpiegostwa, a najnowszy proces infekcji gangu Turla obejmuje techniki, które pomagają szkodnikowi uniknąć wykrycia. Na przykład infrastruktura sterowania i kontroli posiada adresy IP, które przypominają zwykłe adresy LAN. Ponadto szkodnik jest niemal całkowicie bezplikowy – na ostatnim etapie infekcji zaszyfrowany trojan służący do zapewnienia zdalnej administracji zostaje osadzony w rejestrze komputera, aby w odpowiednim czasie umożliwić dostęp do urządzenia szkodliwemu oprogramowaniu.

    Dwa odpowiedniki KopiLuwaka: trojany .NET RocketMan oraz PowerShell MiamiBeach również mają na celu cyberszpiegostwo. Badacze uważają, że wersje te są stosowane w odniesieniu do atakowanych urządzeń, na których zainstalowane jest szkodliwe oprogramowanie zabezpieczające potrafiące wykrywać szkodnika KopiLuwak. W przypadku zakończonej sukcesem instalacji wszystkie trzy wersje potrafią:

    •     badać cele, aby dowiedzieć się, jakiego typu komputer został zainfekowany,
    •     gromadzić informacje dostępne w systemie oraz kartach sieciowych,
    •     kraść pliki,
    •     pobierać i wykonywać dodatkowe szkodliwe oprogramowanie,
    •     MiamiBeach potrafi dodatkowo wykonywać zrzuty ekranu.

    – W 2019 r. cyberugrupowanie Turla udoskonaliło swój zestaw narzędzi, wprowadzając wiele nowych funkcji, prawdopodobnie w celu zminimalizowania szans na wykrycie go przez rozwiązania zabezpieczające oraz badaczy. Obejmują one zmniejszenie cyfrowego śladu szkodliwego oprogramowania oraz stworzenie dwóch różnych ale podobnych wersji znanego szkodnika o nazwie KopiLuwak. Wykorzystanie pakietów instalacyjnych oprogramowania VPN, które potrafi obejść cenzurę internetową, sugeruje, że atakujący stosują te narzędzia w celu szpiegowania ściśle określonych celów. Ciągła ewolucja arsenału cyberugrupowania Turla przypomina o potrzebie stosowania analizy zagrożeń oraz oprogramowania zabezpieczającego, które potrafi chronić przed najnowszymi narzędziami i technikami stosowanymi przez ugrupowania APT. Na przykład ochrona punktów końcowych oraz sprawdzanie skrótów plików po pobraniu oprogramowania instalacyjnego mogłyby pomóc zabezpieczyć użytkowników przed takimi zagrożeniami jak Topinambour – powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

    Porady bezpieczeństwa

    Badacze z firmy Kaspersky zalecają podjęcie następujących działań pozwalających uchronić się przed wyrafinowanymi operacjami cyberszpiegowskimi:

    • Wprowadź szkolenia w zakresie zwiększenia świadomości bezpieczeństwa dla personelu, podczas których nauczą się, jak rozpoznawać i unikać potencjalnie szkodliwych aplikacji oraz plików. Na przykład pracownicy powinni wiedzieć, że nie należy pobierać ani uruchamiać żadnych aplikacji ani programów z niezaufanych lub nieznanych źródeł.
    • W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
    • Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
    • Zadbaj o to, aby Twój zespół z centrum operacji bezpieczeństwa posiadał dostęp do najnowszych danych dot. analizy zagrożeń, aby być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami stosowanymi przez ugrupowania cyberprzestępcze.
    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    OVHcloud poszerza portfolio chmury publicznej o usługę Managed Rancher Service

    OVHcloud, europejski lider w dziedzinie chmury, podczas konferencji KubeCon Europe 2024 ogłosiła wprowadzenie nowych usług do rosnącej oferty chmury...