Eksperci z ESET ostrzegają przed nowymi narzędziami w asortymencie grupy Turla. Dzięki wykorzystaniu spreparowanego wcześniej zestawu poleceń PowerShell, atakujący są w stanie wstrzykiwać złośliwe oprogramowanie bezpośrednio do pamięci operacyjnej, zwiększając skuteczność swoich działań i utrudniając wykrycie ataku. Eksperci ds. cyberbezpieczeństwa już wielokrotnie ostrzegali przed zagrożeniem ze strony grupy Turla, specjalizującej się w atakach przeciwko placówkom
dyplomatycznym i organizacjom politycznym. Dotychczas w arsenale włamywaczy znajdowały się przede wszystkim rozbudowane autorskie narzędzia, takie jak malware LightNeuron, który pozwalał przechwytywać i modyfikować dowolną wiadomość przechodzącą przez serwer pocztowy. Teraz okazuje się, że przestępcy z grupy Turla poszerzyli swój „asortyment” o złośliwe skrypty PowerShell. Wykorzystują one wbudowany interpreter poleceń systemu Windows, by wstrzyknąć złośliwy kod prosto do pamięci operacyjnej komputera. Metoda ta została wykorzystana przeciwko kilku placówkom dyplomatycznym w Europie Wschodniej, ale niewykluczone, że lista celów jest znacznie dłuższa.
Wykrycie ataków staje się coraz trudniejsze
Nowe narzędzia grupy Turla wykorzystują skrypty PowerShell, by wstrzyknąć złośliwy kod bezpośrednio do pamięci operacyjnej systemu ofiary. Metoda ta pozwala włamywaczom ominąć te programy antywirusowe, które skanują wyłącznie dysk twardy pod kątem zagrożeń. Znacząco zwiększa to szanse powodzenia ataku, ponieważ wykrycie takiego szkodliwego działania nastąpi dopiero na etapie skanowania pamięci operacyjnej, czyli w momencie, kiedy skrypt jest już aktywny i ma możliwość wyrządzenia szkód. To, co wyróżnia technikę stosowaną przez grupę Turla od innych złośliwych programów tego typu (tzw. droppery), to możliwość skutecznego utrzymywania się w systemie poprzez regularne wstrzykiwanie zainfekowanego kodu.
Wśród opisywanych narzędzi na uwagę zasługują przede wszystkim dwa z nich. Pierwszym jest cały zestaw koni trojańskich wykorzystujących odpowiedzialny za komunikację stacji roboczych z serwerem protokół RPC. Pozwala on skutecznie przejmować kontrolę nad innymi urządzeniami bez konieczności komunikowania się z zewnętrznym serwerem sterującym. Drugi to backdoor PowerStallion, który wykorzystuje usługę OneDrive jako prowizoryczny serwer sterujący.
– Podejrzewamy, że PowerStallion został opracowany z myślą o sytuacjach awaryjnych i miał być wykorzystywany, aby dostać się do komputerów ofiar dopiero wtedy, gdy główne backdoory stosowane przez grupę zostałyby wykryte i zablokowane – tłumaczy Kamil Sadkowski, starszy analityk zagrożeń w ESET.
Hakerzy ulepszają swój arsenał
– Nowe odkrycia dotyczące złośliwych skryptów PowerShell dowodzą jednego – arsenał stosowany przez grupę Turla stale ewoluuje, a cyberprzestępcy w swoich atakach są gotowi korzystać ze wszystkich dostępnych narzędzi. Jest to istotna lekcja dla ekspertów zajmujących się bezpieczeństwem IT oraz dla administratorów, którzy chcą pozostawać o krok przed włamywaczami – komentuje Kamil Sadkowski z ESET.