Используя забытую инфраструктуру, хакеры устанавливают шпионское ПО на заражённые устройства в Украине.
Исследователи кибербезопасности Для просмотра ссылки Войди
По словам аналитиков, Turla Team (также известная как UNC4210) взяла под свой контроль 3 домена, которые были частью ныне несуществующей инфраструктуры управления и контроля (C&C) сети ботнетов Andromeda (Gamarue), чтобы повторно подключиться к скомпрометированным системам. Конечная цель заключалась в распространении среди жертв Andromeda разведывательной утилиты KOPILUWAK и Для просмотра ссылки Войди
Andromeda состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн. компьютеров ежемесячно. В рамках Для просмотра ссылки Войди
Andromeda продолжает распространяться с заражённых USB-устройств, поэтому перерегистрированные домены всё ещё представляют опасность, и злоумышленники могут взять их под контроль, чтобы доставить новые вредоносные программы жертвам. Скорей всего, Turla Team скомпрометируют системы, а затем продадут доступ к ним на подпольных форумах.
В ходе обнаруженного инцидента сотрудник неназванной украинской организации вставил зараженный USB-накопитель в рабочий компьютер в декабре 2021 года и нажал на вредоносный LNK-файл, маскирующийся под папку на USB-накопителе. Это привело к развертыванию Andromeda на хосте.
Примечательно, что, если пользователь вставляет «чистый» USB-накопитель в уже зараженную систему, этот новый USB-накопитель может заразиться и продолжить распространение Andromeda.
Злоумышленники пытались скрытно профилировать системы, чтобы определить наиболее интересные цели, которые затем атаковали. Mandiant наблюдала активность серверов Turla Team только в течение коротких периодов времени, обычно несколько дней, с неделями простоя.
- Источник новости
- www.securitylab.ru