ESET: Группа хакеров Turla постоянно улучшает свой бэкдор Carbon

ESET: Группа хакеров Turla постоянно улучшает свой бэкдор Carbon

ESET сообщает о том, что группа хакеров из России, известная под названием Turla, продолжает совершенствовать свой бэкдор Carbon, регулярно выпуская новые версии.

Turla активно действует с 2007 года и ей приписывают ответственность за несколько громких атак, в том числе на швейцарскую оборонную фирму RUAG и Центральное командование США. Эта группа хакеров также известна под именами Waterbug, KRYPTON и Venomous Bear.

Carbon, также известный как Pfinet, это бэкдор второй стадии, который обычно используется после фазы разведки. Именно он был задействован в атаке, направленной на RUAG. ESET описывает его как облегченную версию Uroburos.

Согласно ESET, Carbon имеет несколько компонентов, включая дроппер, командный центр (C&C) и загрузчик. Эти компоненты являются в основном DLL-файлами, за исключением загрузчика, который представляет собой файл EXE.

Исследователи за прошлый год столкнулись с несколькими версиями вредоноса, последняя из которых имеет дату компиляции 21 октября 2016 года.

ESET отметила, что Turla вносит изменения в свои инструменты после их обнаружения. В случае Carbon, в версии 3.8, выпущенной летом 2016 года, имена файлов и мьютексы были изменены.

Основным компонентом структуры Carbon является оркестровка, который используется для внедрения библиотеки в легитимный процесс. Перед тем, как установить связь с командным центром, вредонос проверяет систему на наличие программного обеспечения для захвата пакетов, например, Wireshark или Tcpdump.

ESET также отметила, что помимо измененных имен файлов, новые версии Carbon используют более широкий спектр шифрования.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

OpenSUpdater использует подпись кода для обхода антивирусов в Windows

Специалисты по кибербезопасности из Goolge отметили интересный подход разработчиков вредоносных программ. Теперь операторы зловредов используют специально созданные сигнатуры для подписи кода, которые выглядят легитимными в системе Windows и позволяют обойти защитные программы.

В частности, этот метод используется для распространения OpenSUpdater, которая получила статус потенциально опасной программы — Riskware. OpenSUpdater внедряется в браузеры и устанавливает дополнительный опасный софт в систему жертвы.

За этой кампанией стоит киберпреступная группировка, основной мотив которой — финансовая выгода. Поэтому задача OpenSUpdater — заразить как можно больше устройств. Большинство жертв злоумышленников на данный момент находится в США и, судя по всему, в их интересы входит скачивание нелегального софта, «кряков» и т. п.

Как отметил Нил Мехта, один из исследователей команды Google Threat Analysis Group (TAG), авторы OpenSUpdater недавно начали подписывать семплы своей программы специально созданными сертификатами. Интересно, что эти образцы полностью сбивали парсинг OpenSSL, так что декодировать и проверить сигнатуры не представлялось возможным.

Другими словами, антивирусные решения, использующие правила детектирования OpenSSL, не могли обнаружить OpenSUpdater, поэтому нежелательный софт выполнял любые действия в системе пользователя.

«С середины августа образцы OpenSUpdater подписывались невалидной сигнатурой. Наше исследование показало, что это было сделано специально для обода детектирования антивирусными программами», — объясняет Мехта.

«Защитные решения, использующие OpenSSL для извлечения информации о подписи, будут игнорировать образец вредоноса, поскольку они не смогут получить корректные данные о сигнатуре. В сущности, это просто нарушит сам процесс антивирусного сканирования».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru