Изучен один из основных вредоносных инструментов кибергруппировки Turla

Компания ESET обнародовала результаты детального анализа бекдора Carbon из арсенала кибергруппировки Turla.

За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании.

Хакеры Turla используют широкий спектр инструментов. Один из них — вышеупомянутый зловред Carbon. Именно эта вредоносная программа использовалась в атаке на швейцарский оборонный холдинг RUAG.

Кибергруппировка Turla известна тщательной поэтапной работой в скомпрометированных IT-сетях. Первоначально хакеры проводят разведку в системе жертвы и только после этого развёртывают наиболее сложные инструменты, включая Carbon.

Классическая атака начинается с того, что пользователь получает фишинговое письмо или заходит на скомпрометированный сайт — как правило, это площадка, которую часто посещают потенциальные жертвы. После успешной атаки на компьютер жертвы устанавливается бекдор первого этапа — например, Tavdig или Skipper. Он собирает информацию о заражённом устройстве и сети. Если цель показалась интересной, на ключевые системы будет установлен бекдор второго этапа — Carbon.

Эксперты выяснили, что Carbon характеризуется сложной архитектурой. Вредоносная программа состоит из дроппера, компонента, отвечающего за связь с управляющим сервером, загрузчика и пр. На сегодняшний день обнаружено как минимум восемь модификаций зловреда.

Специалисты ESET выявили сходство Carbon с другим известным инструментом группы Turla — руткитом Uroburos. По мнению экспертов, Carbon может быть «облегчённой» версией Uroburos (без компонентов ядра и эксплойтов). Более подробно об исследовании можно узнать здесь

Нравится2
Комментарии (3)
B
i
u
Спойлер