Полезные знания Кибершпионы группы Turla используют в своих целях программы иранской кибергруппы OilRig

Everest_RR

Местный
Private Club
Регистрация
8/10/18
Сообщения
232
Репутация
20
Реакции
255
RUB
0
97a81d166eac4cf363c4838f437c70b8.jpg
Кибершпионы группы Turla используют в своих целях программы иранской кибергруппы OilRig


Представители Symantec проинформировали о взломе русскоязычной хакерской группой Turlaинфраструктуры группировки иранских хакеров APT34, известной также как Oilrig.

Впервые Turla официально была упомянута в 2008 году в связи с проникновением в защищенные компьютерные системы оборонного министерства США. Также специалисты по информационной безопасности фиксировали почерк Turla в хакерских кампаниях 20 лет назад. Группа была связана с многочисленными инцидентами нарушения целостности информационных систем: атакой на спутниковые каналы связи, используя ее как маскировку своих действий; получение доступа к программному обеспечению органов госуправления и стратегических отраслей, в том числе оборонной промышленности.

Эксперты ESET проинформировали, что хакеры Turla используют новую программу, которую они скрывали уже 5 лет. Эта программа, Бэкдор LightNeuron, интегрируется в работу почтовых серверов Microsoft Exchangeи контролирует их: перехватывает и перенаправляет любые письма, редактирует содержимое входящих или исходящих сообщений, отправляет новые письма и блокирует получение конкретных посланий для пользователя.

Предыдущие 1,5 года представители Symantec вели наблюдение за атаками Turla. Вначале 2018 года Turlaпроникла в защищенные компьютерные системы 13 государственных учреждений, которые находятся вдесяти разных странах.

Впервые доказательство атаки группой Turla зафиксировали 11 января 2018 года. Тогда планировщик задач msfgi.exe, который является инструментом Turla, загрузили на компьютерное оборудование в сети APT34.

Отчет аналитиков Symantec содержит описание новых инструментов Turla, в частности:

● дроппер, который используют, чтобы инсталлировать бэкдор Neptun;

● программы, созданные с помощью украденных у АНБ идей — EternalBlue, EternalRomance, DoublePulsar, SMBTouch;

● инструмент, проверяющий USB-накопители пораженного компьютера и крадущий информацию, архивируя ее в RAR;

● разведывательные инструменты Visual Basic и PowerShell, которые применяют после первых похищений учетных данных;

● программы, которые находятся в открытом доступе: IntelliAdmin, выполняющие команды RPC, SScan и NBTScan с разведывательной целью; PsExec, чтобы усилить наступление; Mimikatz, чтобы похитить базы данных; Certutil.exe, чтобы удаленно загрузить и дешифровать файлы.
 
Сверху Снизу