Группировка Turla атакует армянские сайты и использует новый бэкдор
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Группировка Turla атакует армянские сайты и использует новый бэкдор

Екатерина Быстрова 13 Марта 2020 - 10:42
...
Группировка Turla атакует армянские сайты и использует новый бэкдор

Киберпреступная группировка Turla, операции которой эксперты связывают с Россией, использует новые инструменты, ранее не зафиксированные ни в одной атаке. Одним из этих инструментов стал вредоносный загрузчик, вторым — специальный бэкдор, с помощью которого злоумышленники проводят атаки вида «watering hole».

Чтобы добраться до целей, Turla взломала по меньшей мере четыре веб-сайта, два из которых принадлежат властям Армении. Специалисты убеждены, что группировка охотится за чиновниками и другими политическими деятелями.

Новый загрузчик, участвующий в последних атаках, представляет собой .NET-вредонос. Исследователи присвоили ему имя NetFlash. Второй инструмент (бэкдор) написан на Python, поэтому он получил соответствующее название — PyFlash. Составная часть «Flash» в именах зловредов обусловлена способом их распространения.

Бэкдор и загрузчик доставляются жертвам посредством фейковых обновлений для Adobe Flash. Чтобы убедить цель установить такие «апдейты», злоумышленники выводят специальные уведомления, утверждающие, что установленный софт устарел и нуждается в обновлении.

Таким способом Turla удалось взломать как минимум четыре сайта:

  • armconsul[.]ru — консульский отдел посольства Армении в России.
  • mnp.nkr[.]am — Министерство природных ресурсов и экологии Республики Арцах.
  • aiisa[.]am — Институт международных отношений и безопасности Армении.
  • adgf[.]am — Фонд гарантирования возмещения вкладов Армении.

Как только киберпреступники получили доступ к взломанным сайтам, на их веб-страницах разместили вредоносный JavaScript-код, загружаемый из стороннего ресурса — skategirlchina[.]com. Этот код предназначался для снятия цифрового отпечатка браузера посетителя.

Любой зашедший на взломанный ресурс пользователь получал постоянный файл cookie, с помощью которого киберпреступники отслеживали его перемещение по скомпрометированным сайтам.

Специалисты антивирусной компании ESET, изучившие недавние атаки Turla, пришли к выводу, что хакеры очень тщательно выбирали своих жертв. В результате до второй ступени доходил лишь небольшой процент атакованных пользователей.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ Яндекса отражает до 150 DDoS-атак в месяц — 99,9% автоматически
Екатерина Быстрова 13 Ноября 2025 - 19:09
Атаки на сайтыDDoS-атаки Корпорации Яндекс
ИИ Яндекса отражает до 150 DDoS-атак в месяц — 99,9% автоматически

Искусственный интеллект Яндекса каждый месяц справляется в среднем со 150 DDoS-атаками на сервисы компании. С начала года таких атак было уже около 800, рассказал ТАСС директор по информационной безопасности компании Александр Каледа.

По его словам, нагрузка сильно колеблется: в пиковые периоды количество атак поднимается до 150 в месяц, в спокойные — опускается до 50–60.

Но при этом подавляющее большинство атак — свыше 99,9% — нейтрализуются полностью автоматически, без участия человека.

Каледа поясняет, что речь идёт в основном о сложных атаках, направленных на нарушение работы сервисов и приложений. ИИ помогает выявлять нетривиальные признаки угроз, которые невозможно описать простыми правилами.

«В отличие от традиционного подхода, где правила быстро устаревают, ИИ находит нестандартные сочетания технических и поведенческих признаков. Такой подход сложнее обойти злоумышленникам», — отметил он.

После отражения атаки проходят разбор и анализ. Сейчас около 75% таких разборов выполняются автоматически: система классифицирует инциденты и пополняет обучающую выборку, что помогает быстрее реагировать на новые типы угроз.

Атаки Яндекс отражает с помощью собственного сервиса «Антиробот». Он анализирует весь входящий трафик в режиме реального времени и определяет, какие запросы поступают от реальных пользователей, а какие — от автоматизированных систем, участвующих в атаке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Обезврежены 1025 серверов, связанных с Rhadamanthys, VenomRAT, Elysium
Новость
Обезврежены 1025 серверов, связанных с Rhadamanthys, VenomRA...
ФСБ России сертифицировала узлы квантовой сети ViPNet QTS Lite от ИнфоТеКС
Новость
ФСБ России сертифицировала узлы квантовой сети ViPNet QTS Li...
Селфи или рилсы на рабочем месте могут стать поводом для увольнения
Новость
Селфи или рилсы на рабочем месте могут стать поводом для уво...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.