Группировка Turla атакует армянские сайты и использует новый бэкдор

Екатерина Быстрова 13 Марта 2020 - 10:42

...

Киберпреступная группировка Turla, операции которой эксперты связывают с Россией, использует новые инструменты, ранее не зафиксированные ни в одной атаке. Одним из этих инструментов стал вредоносный загрузчик, вторым — специальный бэкдор, с помощью которого злоумышленники проводят атаки вида «watering hole».

Чтобы добраться до целей, Turla взломала по меньшей мере четыре веб-сайта, два из которых принадлежат властям Армении. Специалисты убеждены, что группировка охотится за чиновниками и другими политическими деятелями.

Новый загрузчик, участвующий в последних атаках, представляет собой .NET-вредонос. Исследователи присвоили ему имя NetFlash. Второй инструмент (бэкдор) написан на Python, поэтому он получил соответствующее название — PyFlash. Составная часть «Flash» в именах зловредов обусловлена способом их распространения.

Бэкдор и загрузчик доставляются жертвам посредством фейковых обновлений для Adobe Flash. Чтобы убедить цель установить такие «апдейты», злоумышленники выводят специальные уведомления, утверждающие, что установленный софт устарел и нуждается в обновлении.

Таким способом Turla удалось взломать как минимум четыре сайта:

armconsul[.]ru — консульский отдел посольства Армении в России.
mnp.nkr[.]am — Министерство природных ресурсов и экологии Республики Арцах.
aiisa[.]am — Институт международных отношений и безопасности Армении.
adgf[.]am — Фонд гарантирования возмещения вкладов Армении.

Как только киберпреступники получили доступ к взломанным сайтам, на их веб-страницах разместили вредоносный JavaScript-код, загружаемый из стороннего ресурса — skategirlchina[.]com. Этот код предназначался для снятия цифрового отпечатка браузера посетителя.

Любой зашедший на взломанный ресурс пользователь получал постоянный файл cookie, с помощью которого киберпреступники отслеживали его перемещение по скомпрометированным сайтам.

Специалисты антивирусной компании ESET, изучившие недавние атаки Turla, пришли к выводу, что хакеры очень тщательно выбирали своих жертв. В результате до второй ступени доходил лишь небольшой процент атакованных пользователей.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 17 Марта 2026 - 09:06

Домашние пользователи Системы контентной веб-фильтрации

Дом.Ру начал ограничивать скорость тем, кто перебрал трафик

Интернет-провайдер «Дом.ру» начал ограничивать трафик абонентам, чей ежемесячный объём потребления превысил 3 Тбайт. В компании считают, что такой показатель может свидетельствовать о коммерческом использовании подключения, что противоречит условиям абонентского договора. Пока мера затронула 267 человек в трёх регионах.

Как сообщил ТАСС со ссылкой на компанию, ограничение скорости для пользователей с аномально высоким потреблением трафика пока носит тестовый характер.

Речь идёт только о трёх городах — Санкт-Петербурге, Екатеринбурге и Самаре. Эта мера была применена к 267 абонентам из более чем 1200 пользователей, у которых выявили существенно завышенные объёмы трафика.

«Все тарифы оператора являются и остаются безлимитными. Проект был инициирован "Дом.ру" в связи с результатами проводимых в течение нескольких лет проверок по потреблению трафика и выявленными нарушениями», — прокомментировали в компании.

Для таких пользователей скорость доступа снижается до 50 Мбит/с. В компании утверждают, что этого достаточно для работы основных цифровых сервисов. При этом абонент может сохранить прежнюю скорость, доплачивая 100 рублей за каждые дополнительные 500 ГБ, либо дождаться начала следующего расчётного периода — тогда ограничение снимется автоматически.

Как показало исследование провайдера, в 1260 случаях, связанных с аномально высоким потреблением трафика, значительная часть клиентов оказалась юрлицами, использующими интернет в коммерческих целях. В компании также заявили, что выявили случаи перепродажи трафика. Как напомнили в «Дом.ру», 3 Тбайт трафика — это как минимум 750 полнометражных фильмов в HD-качестве или 1500 часов онлайн-видео.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!