Компания ESET проанализировала новую кибератаку известной группировки Turla, целью которой стала кража конфиденциальных данных госучреждений в странах Европы.
За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации и пр.
В ходе очередной атаки злоумышленники используют вредоносную программу с управлением через Microsoft Outlook. Для связи с этим зловредом служат электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. С помощью таких посланий на заражённый компьютер могут оправляться различные команды, в том числе для сбора данных, а также для выполнения других программ и различных запросов.
Вредоносная программа проверяет каждое входящее письмо на наличие PDF-файла с командами. Кроме того, зловред дублирует своим операторам все исходящие письма жертвы. Таким образом, в руках злоумышленников может оказаться конфиденциальная информация.
«Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты — MAPI», — отмечает ESET. Специалисты полагают, что на сегодняшний день Turla — единственная кибергруппа, которая использует подобные инструменты.
Источник: 3DNews