Нову активність групи Turla, яка спрямована на урядові веб-сайти, виявили фахівці з кібербезпеки. Цього разу кіберзлочинці застосовують методи соціальної інженерії, використовуючи фальшиве оновлення Adobe Flash як приманку для завантаження шкідливого програмного забезпечення.

У цих атаках типу “watering hole” Turla інфікувала щонайменше чотири веб-сайти, з них два належать уряду Вірменії, повідомляють у компанії ESET. Таким чином, цілком ймовірно, що цілями кіберзлочинців були урядовці та політики.

Фахівці нагадують, що атаки виду “watering hole” передбачають, що зловмисники інфікують шкідливим програмним забезпеченням сайти, які часто відвідуються їх потенційними жертвами.

“Якщо відвідувач цікавий для кіберзлочинців, командний сервер (C&C) відповідає фрагментом коду JavaScript, який створює IFrame. В рамках кампанії “watering hole” операторам Turla цікавими була обмежена кількість відвідувачів, — коментують дослідники ESET. – Користувачам відображається фальшиве спливаюче вікно з нібито оновленням Adobe Flash для того, щоб заманити жертву завантажити шкідливий інсталятор. Спроба інфікування покладається виключно на методи соціальної інженерії”.

У цій кампанії Turla використовує абсолютно новий бекдор, який отримав назву PyFlash. На думку спеціалістів ESET, в цьому шкідливому програмному забезпеченні автори Turla вперше використали мову Python. Командний сервер надсилає бекдору команди для завантаження файлів, виконання команд Windows, а також запуск або видалення шкідливого програмного забезпечення. “Фінальний компонент змінився, ймовірно, з метою уникнення виявлення”, — пояснюють спеціалісти ESET.

Дослідження ESET показало, що ці веб-сайти були інфіковані щонайменше з початку 2019 року. Спеціалісти ESET попередили національний підрозділ CERT Вірменії та поділилися з ними аналізом перед публікацією дослідження.

Варто зазначити, що група кіберзлочинців Turla активна вже понад 10 років. Основними її цілями є урядові та військові організації. Ці нещодавні атаки типу «watering hole» мають ряд подібних особливостей з деякими попередніми кампаніями групи.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Нагадаємо, використовуючи реквізити платіжних карток громадян інших держав, зловмисник купував товари в Інтернет-магазинах. Далі продавав їх у соціальних мережах українцям.

Окрім цього, прогалини в безпеці знайдені в продуктах Amazon, Apple, Google, Samsung, Raspberry, Xiaomi, а також точках доступу від Asus і Huawei.

До речі, рекламні агенції, що надавали послуги з розміщення реклами, в тому числі на сайтах онлайн-кінотеатрів, своєю діяльністю забезпечували функціонування ресурсів з піратським контентом.

Також довгий час більшість користувачів вважали, що загроз для Linux значно менше, ніж для Windows чи macOS. Однак останнім часом комп’ютерні системи та додатки на базі цієї операційної системи все частіше стають об’єктами атак кіберзлочинців.

Автор:

Автор: Олена Кожухар