Группировка Turla атакует армянские сайты и использует новый бэкдор
Главная » Новости

Группировка Turla атакует армянские сайты и использует новый бэкдор

Екатерина Быстрова 13 Марта 2020 - 10:42
...
Группировка Turla атакует армянские сайты и использует новый бэкдор

Киберпреступная группировка Turla, операции которой эксперты связывают с Россией, использует новые инструменты, ранее не зафиксированные ни в одной атаке. Одним из этих инструментов стал вредоносный загрузчик, вторым — специальный бэкдор, с помощью которого злоумышленники проводят атаки вида «watering hole».

Чтобы добраться до целей, Turla взломала по меньшей мере четыре веб-сайта, два из которых принадлежат властям Армении. Специалисты убеждены, что группировка охотится за чиновниками и другими политическими деятелями.

Новый загрузчик, участвующий в последних атаках, представляет собой .NET-вредонос. Исследователи присвоили ему имя NetFlash. Второй инструмент (бэкдор) написан на Python, поэтому он получил соответствующее название — PyFlash. Составная часть «Flash» в именах зловредов обусловлена способом их распространения.

Бэкдор и загрузчик доставляются жертвам посредством фейковых обновлений для Adobe Flash. Чтобы убедить цель установить такие «апдейты», злоумышленники выводят специальные уведомления, утверждающие, что установленный софт устарел и нуждается в обновлении.

Таким способом Turla удалось взломать как минимум четыре сайта:

  • armconsul[.]ru — консульский отдел посольства Армении в России.
  • mnp.nkr[.]am — Министерство природных ресурсов и экологии Республики Арцах.
  • aiisa[.]am — Институт международных отношений и безопасности Армении.
  • adgf[.]am — Фонд гарантирования возмещения вкладов Армении.

Как только киберпреступники получили доступ к взломанным сайтам, на их веб-страницах разместили вредоносный JavaScript-код, загружаемый из стороннего ресурса — skategirlchina[.]com. Этот код предназначался для снятия цифрового отпечатка браузера посетителя.

Любой зашедший на взломанный ресурс пользователь получал постоянный файл cookie, с помощью которого киберпреступники отслеживали его перемещение по скомпрометированным сайтам.

Специалисты антивирусной компании ESET, изучившие недавние атаки Turla, пришли к выводу, что хакеры очень тщательно выбирали своих жертв. В результате до второй ступени доходил лишь небольшой процент атакованных пользователей.

Следующая главная новость »
AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Мошенники крадут личности туристов для обмана других путешественников
Татьяна Никитина 16 Января 2026 - 19:12
ФишингМошенничествоОнлайн-мошенничество Домашние пользователи
Мошенники крадут личности туристов для обмана других путешественников

Облюбовавшие Telegram мошенники предлагают аренду жилья российским любителям отдыха за рубежом, используя ранее украденные личные данные других обманутых туристов. Тренд уже приобрел массовый характер.

Целью данной аферы является отъем денег под предлогом оплаты брони. Очередное свидетельство подобного мошенничества представлено в телеграм-канале «База».

Задумав поездку в Таиланд, жительница Тулы Анастасия обратилась за помощью к менеджеру из контактов Дарьи Ловчевой. Та предложила несколько вариантов проживания в Пхукете и посоветовала почитать отзывы в созданной ею профильной группе.

После выбора претендентка скинула свои паспортные данные и внесла предоплату в размере 30%. Когда ей сообщили о необходимости уплаты еще 50% стоимости аренды, россиянка заподозрила подвох и потребовала возврат, однако собеседница исчезла из чата.

Как выяснилось, мошеннический сервис гостеприимства объявился в мессенджере в результате кражи личности Дарьи Логачевой, совершенной при аналогичном бронировании тайского жилья. Новоявленная туристка из Тулы теперь переживает, что ее данные тоже могут быть использованы для обмана других путешественников.

Схожим образом злоумышленники крадут деньги у желающих отдохнуть во Вьетнаме, Франции, Италии, Индонезии. Менее изощренные мошеннические схемы, ориентированные на туристов, обычно используют обзвон либо фишинговые сайты, активно плодящиеся перед долгими праздниками и в сезон летних отпусков.

AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »
Украинку в США обвинили в проведении хактивистских атак в интересах Кремля
Новость
Украинку в США обвинили в проведении хактивистских атак в ин...
В России расширили перечень сайтов, работающих при отключении интернета
Новость
В России расширили перечень сайтов, работающих при отключени...
В России в 1,5 раза выросло число заражений NFC-троянами для Android
Новость
В России в 1,5 раза выросло число заражений NFC-троянами для...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.