Група кіберзлочинців Turla поширюють нові інструменти на основі PowerShell – фахівцями з кібербезпеки було виявлено декілька атак на дипломатичні установи в Східній Європі.

Про це повідомляє компанія ESET.

Використання сценаріїв PowerShell дозволяє кіберзлочинцям безпосередньо завантажувати в пам’ять та здійснювати виконання шкідливих файлів та бібліотек. Завдяки цим інструментам, Turla може обійти методи виявлення під час завантаження шкідливого програмного забезпечення на диск.

“Разом з новим завантажувачем на основі PowerShell компанії Turla було виявлено та проаналізовано декілька цікавих компонентів, включаючи бекдор на основі RPC та бекдор PowerShell, що використовують сервіс хмарних сховищ OneDrive від Microsoft як власний командний сервер”, — розповідають дослідники ESET.

Завантажувачі на основі PowerShell, виявлені спеціалістами ESET, відрізняються від простих бекдорів своєю здатністю залишатися в системі якомога довше, оскільки вони регулярно завантажують в пам’ять лише вбудовані виконувані файли. У деяких зразках кіберзлочинці Turla змінили свої сценарії PowerShell для обходу захисного механізму AMSI (Antimalware Scan Interface). Даний прийом ускладнює можливість отримання деякими антивірусами даних з інтерфейсу AMSI для сканування.

“Проте ці методи не перешкоджають виявленню актуальних шкідливих компонентів у пам’яті”, — пояснюють спеціалісти ESET.

Серед компонентів, які нещодавно використовувалися компанією Turla, також виокремлюють набір бекдорів на основі протоколу RPC. Ці бекдори виконують додаткові дії та здійснюють управління іншими пристроями в локальній мережі без використання зовнішнього командного сервера.

Варто зазначити, що шпигунська група Turla, також відома як Snake, використовує складне шкідливе програмне забезпечення для атак на організації державного значення. Вважається, що їх діяльність почалася з атаки на Збройні сили США у 2008 році. Також зловмисники здійснювали численні атаки на урядові установи в Європі та на Близькому Сході. Серед їхніх цілей — Міністерство закордонних справ Німеччини та Збройні сили Франції.

Нагадаємо, уразливість BlueKeep у службах віддаленого робочого столу може стати новим вектором для розповсюдження шкідливих програм. У разі використання уразливості кіберзлочинці зможуть отримати доступ до комп’ютера жертви без необхідних облікових даних або взаємодії з користувачем.

Також спеціаліст проекту Google Project Zero Тевіс Орманді (Tavis Ormandy) повідомив про уразливість в текстовому редакторі Notepad (“Блокнот”) у складі ОС Windows, що дозволяє віддалено виконати код.

До речі, інсталяція одного з головних нововведень в травневому оновленні Windows 10 May 2019 Update може призвести до непрацездатності віртуального середовища Windows Sandbox.

Google заявила, що додавання телефонного номера для відновлення може заблокувати всі автоматизовані спроби бота для доступу до облікових записів за допомогою облікових даних.