Новости Группа Turla Team использует закрытые домены 2013 года для атак на жертвы старого ботнета

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022

Используя забытую инфраструктуру, хакеры устанавливают шпионское ПО на заражённые устройства в Украине.​


077dyfzv018b3ter40bmgnh0pi9117no.jpg


Исследователи кибербезопасности Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , что группировка Turla Team использует инфраструктуру вредоносной программы Andromeda десятилетней давности для распространения своих шпионских инструментов среди целей в Украине.

По словам аналитиков, Turla Team (также известная как UNC4210) взяла под свой контроль 3 домена, которые были частью ныне несуществующей инфраструктуры управления и контроля (C&C) сети ботнетов Andromeda (Gamarue), чтобы повторно подключиться к скомпрометированным системам. Конечная цель заключалась в распространении среди жертв Andromeda разведывательной утилиты KOPILUWAK и Для просмотра ссылки Войди или Зарегистрируйся QUIETCANARY (Tunnus).

Andromeda состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн. компьютеров ежемесячно. В рамках Для просмотра ссылки Войди или Зарегистрируйся было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре.

Andromeda продолжает распространяться с заражённых USB-устройств, поэтому перерегистрированные домены всё ещё представляют опасность, и злоумышленники могут взять их под контроль, чтобы доставить новые вредоносные программы жертвам. Скорей всего, Turla Team скомпрометируют системы, а затем продадут доступ к ним на подпольных форумах.

В ходе обнаруженного инцидента сотрудник неназванной украинской организации вставил зараженный USB-накопитель в рабочий компьютер в декабре 2021 года и нажал на вредоносный LNK-файл, маскирующийся под папку на USB-накопителе. Это привело к развертыванию Andromeda на хосте.

Примечательно, что, если пользователь вставляет «чистый» USB-накопитель в уже зараженную систему, этот новый USB-накопитель может заразиться и продолжить распространение Andromeda.

Злоумышленники пытались скрытно профилировать системы, чтобы определить наиболее интересные цели, которые затем атаковали. Mandiant наблюдала активность серверов Turla Team только в течение коротких периодов времени, обычно несколько дней, с неделями простоя.
 
Источник новости
www.securitylab.ru

Похожие темы