Компания ESET раскрыла новую схему атак на рабочие станции, которую практикует нашумевшая кибергруппировка Turla.
За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании. Причём участники Turla используют широкий спектр инструментов.
Как теперь показало исследование ESET, хакеры Turla объединили в пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрили специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe.
Такой приём вводит потенциальную жертву в заблуждение: у пользователя создаётся впечатление, что он загружает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности — подмена легитимного установщика вредоносным производится на одном из этапов пути от серверов Adobe к рабочей станции.
После запуска поддельного инсталлятора Flash Player на компьютер жертвы будет установлен один из бэкдоров группы Turla. Далее злоумышленники извлекают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу. На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.
Подобная схема применяется в атаках, нацеленных на сотрудников посольств и консульств. Более подробно об исследовании можно узнать здесь.
Источник: 3DNews