Számítástechnika
sulaki - 2018-01-17
A Turla csoport kelet-európai diplomatákat támad hamis Adobe Flash telepítőket alkalmazva
Az ESET új kártevőt azonosított, amelyet a hírhedt Turla csoport használ politikai szervezetek elleni támadásra a kelet-európai régióban. Az ESET szakembereinek felfedezése szerint az új vírus egy Adobe weboldaláról származó hamis szoftvernek álcázva magát próbálja rávenni az áldozatokat a kártevő telepítésére, amelynek célja a személyes adatok megszerzése.
A Turla csoport korábban már használt hamis telepítőket a kártevői célba juttatásához, azonban ez az első eset, amikor a rosszindulatú program egy hivatalos Adobe URL-ről és IP-címről töltődik le. Az ESET szakemberei bíznak abban, hogy a Turla kártevői nem fertőztek meg egyetlen hivatalos
Az
A Turla csoport tevékenységét évek óta figyelő ESET szakemberei megállapították, hogy az új kártevőt egy hivatalos
Az ESET szakemberei azonban észrevették, hogy a hamis Flash telepítők egy GET kérést hajtottak végre, amelynek célja a személyes információk kinyerése a fertőzött rendszerekből. Az ESET telemetria szerint a Turla telepítők legalább 2016 júliusa óta szivárogtatják az adatokat a get.adobe.com
„A Turla üzemeltetői számtalan trükkös módszert találtak arra, hogy rávegyék a gyanútlan felhasználókat egy látszólag hivatalos program letöltésére, és elég okosak ahhoz, hogy elrejtsék a rosszindulatú hálózati forgalmukat” - mondta Jean-Ian Boutin, az ESET kártevőkutatója. „Még a legtapasztaltabb felhasználók is becsaphatók, hogy letöltsenek egy kártevőt, amely látszólag az Adobe.com oldalról érkezik, mivel az
A Turla jelenlétére utaló nyomok
Az ESET szakemberei biztosak abban, hogy ezek a támadások ez elsősorban a volt szovjet utódállamok területét támadó Turla csoporthoz köthetők. A hamis Flash telepítők egy Mosquito elnevezésű backdoor programot tartalmaznak, amelyet korábban egy Turla csoporthoz köthető kártevőként azonosítottak. Ezen kívül néhány vezérlőszerver (C&C) a SATCOM IP-címeket használó backdoor programokhoz kapcsolható, amelyek szintén a Turla csoporthoz kötődnek. Az ESET termékei a kártevő főkomponensét "Win32/Turla.XX" néven képesek detektálni, és a fertőzést blokkolni.
A Turla csoport új kártevőjéről itt olvashatnak mélyebb elemzést.
A Turla csoport korábban már használt hamis telepítőket a kártevői célba juttatásához, azonban ez az első eset, amikor a rosszindulatú program egy hivatalos Adobe URL-ről és IP-címről töltődik le. Az ESET szakemberei bíznak abban, hogy a Turla kártevői nem fertőztek meg egyetlen hivatalos
Flash
Player frissítést sem, illetve nem kapcsolódnak semmilyen Adobe termék ismert sebezhetőségéhez.Az
Adobe Flash
visszaélésekA Turla csoport tevékenységét évek óta figyelő ESET szakemberei megállapították, hogy az új kártevőt egy hivatalos
Flash
Player mellé sikerült betenniük a bűnözőknek, amely látszólag az adobe.com oldalról érkező programnak tűnik. A végpont szempontjából a távoli IP-cím az Akamaihoz, az Adobe által a Flash
telepítő terjesztéséhez használt hivatalos Content Delivery Network (CDN) hálózathoz tartozik.Az ESET szakemberei azonban észrevették, hogy a hamis Flash telepítők egy GET kérést hajtottak végre, amelynek célja a személyes információk kinyerése a fertőzött rendszerekből. Az ESET telemetria szerint a Turla telepítők legalább 2016 júliusa óta szivárogtatják az adatokat a get.adobe.com
URL
-ek segítségével. A hivatalos domainek használata igen nehézzé teszi a hálózati forgalom felderítését a vállalatok számára, és ez egyben jól mutatja azt is, hogy a Turla csoport mennyire rejtve szeretne maradni.„A Turla üzemeltetői számtalan trükkös módszert találtak arra, hogy rávegyék a gyanútlan felhasználókat egy látszólag hivatalos program letöltésére, és elég okosak ahhoz, hogy elrejtsék a rosszindulatú hálózati forgalmukat” - mondta Jean-Ian Boutin, az ESET kártevőkutatója. „Még a legtapasztaltabb felhasználók is becsaphatók, hogy letöltsenek egy kártevőt, amely látszólag az Adobe.com oldalról érkezik, mivel az
URL
és az IP-cím az Adobe hivatalos infrastruktúráját utánozza. Minden általunk vizsgált letöltés http-n keresztül történt, így azt javasoljuk a szervezeteknek, hogy tiltsák le a titkosítatlan kapcsolaton keresztül érkező futtatható fájlok letöltését. Ez jelentősen csökkenti a Turla támadásainak hatékonyságát, mivel sokkal nehezebb beékelődni vagy módosítani egy titkosított HTTPS
kapcsolatot. Ezen kívül a fájlok digitális aláírásának ellenőrzése igazolhatja a sejtelmeket egy gyanús esemény során, mert ezek a fájlok nem rendelkeznek aláírással, az Adobe telepítői viszont igen. Ezek a lépések segítenek elkerülni a Turla csoport legújabb támadásait.”A Turla jelenlétére utaló nyomok
Az ESET szakemberei biztosak abban, hogy ezek a támadások ez elsősorban a volt szovjet utódállamok területét támadó Turla csoporthoz köthetők. A hamis Flash telepítők egy Mosquito elnevezésű backdoor programot tartalmaznak, amelyet korábban egy Turla csoporthoz köthető kártevőként azonosítottak. Ezen kívül néhány vezérlőszerver (C&C) a SATCOM IP-címeket használó backdoor programokhoz kapcsolható, amelyek szintén a Turla csoporthoz kötődnek. Az ESET termékei a kártevő főkomponensét "Win32/Turla.XX" néven képesek detektálni, és a fertőzést blokkolni.
A Turla csoport új kártevőjéről itt olvashatnak mélyebb elemzést.
