El grupo APT vinculado a Rusia, Turla, empleó dos nuevas piezas de malware en ataques lanzados durante un período de aproximadamente dos meses en el otoño de 2019.
El grupo APT vinculado a Rusia Turla empleó dos nuevas piezas de malware en ataques lanzados durante un período de aproximadamente dos meses en el otoño de 2019.
El Turla Grupo APT (también conocido como Snake, uroburos, Bicho de agua, Oso venenoso y CRIPTÓN) ha estado activo desde al menos 2007 dirigiéndose a organizaciones diplomáticas y gubernamentales y empresas privadas en Medio Oriente, Asia, Europa, América del Norte y del Sur, y antiguas naciones del bloque soviético.
La lista de víctimas previamente conocidas es larga e incluye también Firma de defensa suiza RUAG, Departamento de Estado de los Estados Unidos y el Comando Central de los Estados Unidos.
Recientemente, los expertos de ESET han descubierto ataques de abrevaderos dirigidos a varios armenios de alto perfil
"Los investigadores de ESET encontraron una operación de abrevadero (también conocido como compromiso web estratégico) dirigido a varios armenios de alto perfil
"En esta operación específica, Turla ha comprometido al menos cuatro sitios web armenios, incluidos dos que pertenecen al gobierno".
Como parte de esta campaña, los hackers patrocinados por el estado comprometieron los sitios web de la Embajada de Armenia en Rusia, el Ministerio de Protección de la Naturaleza y Recursos Naturales de la República de Artsakh, el Instituto Armenio de Asuntos Internacionales y de Seguridad y el Fondo de Garantía de Depósitos de Armenia. . Los expertos creen que los sitios web se han visto comprometidos al menos desde principios de 2019.
Los piratas informáticos pudieron inyectar código en los sitios web para cargar JavaScript desde un dominio externo (
El JavaScript malicioso de segunda etapa proporcionado por skategirlchina [.] Com toma las huellas digitales del navegador del visitante y
Solo las víctimas de interés reciben una carga útil en forma de una actualización falsa de Adobe Flash, según la telemetría de ESET, solo un número muy limitado de visitantes fueron blanco de los piratas informáticos de Turla.
Antes de septiembre de 2019, las víctimas fueron entregadas con un archivo RAR-SFX que contenía un instalador legítimo Adobe Flash v14 y un segundo archivo RAR-SFX que contenía componentes del Puerta trasera del patrón.
De septiembre a noviembre de 2019, los hackers de Turla entregaron un descargador de .NET previamente indocumentado denominado NetFlash, que obtuvo una puerta trasera de segunda etapa llamada PyFlash.
El servidor C&C también puede enviar comandos de puerta trasera en formato JSON, debajo de una lista de comandos compatibles:
- Descargue archivos adicionales de un enlace HTTP (S) dado.
- Ejecute un comando de Windows usando la función de Python subprocess32.Popen.
- Cambiar el retraso de ejecución: modifica la tarea de Windows que regularmente (cada X minutos; 5 por defecto) lanza el malware.
- Mata (desinstala) el malware.
"
“Por otro lado, la carga útil ha cambiado, probablemente para evadir la detección, como Skipper se conoce desde hace muchos años. Cambiaron a NetFlash, que instala una puerta trasera que llamamos PyFlash y que se desarrolla en el lenguaje Python ".
|
(
Compartiendo
Fuente: https://securityaffairs.co/wordpress/99518/apt/turla-apt-new-malware.html