Группировка Turla использует новый дроппер для атак на G20

Proofpoint опубликовало доклад о деятельности хакерской группировки Turla и предположительной связи с атаками на саммит G20.

На прошлой неделе эксперты компании Proofpoint опубликовали доклад о хакерских атаках на организации, имеющие непосредственное отношение к саммиту G20 и связываемой со спецслужбами РФ группировки Turla.

Саммит G20 прошёл в предыдущем месяце в городе Гамбург, Германия. Последующие мероприятия будут проходить там же в течении всего следующего года, в том числе и собрание целевой группы «Цифровая экономика» намеченное на 23-24 октября.

Документ с объявлением о грядущем собрании хакерская группировкаTurla использовала в качестве приманкидля распространения нового .NET/MSIL дроппера, эксплуатирующегонедавно обнаруженный Javascript-бэкдор известный какKopiLuwak.

Документ-приманка рассылается от имениФедеральногоминистерстваэкономики и энергетики Германии. По мнению экспертов, документ является подлинным. Самого документа нет в открытом доступе, а это может говорить о том, что злоумышленники получили его из источника, которому он изначально был предназначен.

Эксперты Proofpoint также отметили, что метаданные настоящего PDF документа, размещённого на сайте Федерального министерства экономики и энергетики, и файла-приманкичастично совпадают. В частности, речь идёт об имени автора и устройстве, на котором был создан данный документ.

Новый тип дроппера, прикреплённый к документу, хранился в файле под названием Scr.js. Сценарийпосле запускасоздает системные задачи для закрепления себя в системеи последующей эксфильтрации данных. Также, перед установкой бэкдора, дроппер заранее проверяет устройство на наличие продуктов «Лаборатории Касперского», что неудивительно, учитывая тот факт, что именно «Лаборатория Касперского» первым проанализировала KopiLuwak.

Эксперты также отметили, что исходный код дроппера не обфусцирован и не содержит механизмов, препятствующих его анализу. В более старых версиях KopiLuwak бэкдор сам отвечал за сканирование системы, но позднее данный функционал был перенесён непосредственно в дроппер.

Поскольку анализ Proofpoint основан на файлах, полученных из публичного хранилища вредоносных программ, то до сих пор непонятно, кто именно был целью. Однако, основываясь на теме документа-приманки, можно сделать вывод, что наиболее вероятными целями являлись лица и организации, имеющие непосредственное отношение к саммиту, в частности страны-участницы, политики и журналисты.

Turla проявляет активность с 2007 года и предположительно несет ответственность за несколько громких хакерских атак, в числе прочих и на швейцарское оборонное предприятие RUAG, а также центральное командование вооружённых сил США. Данная хакерская группировкаизвестнатакже под именами Waterbug, KRYPTON и Venomous Bear, а инструменты их работыпод названиями Turla (Snake и Uroburos) и Epic Turla (Wipbot и Tavdig).