Группировка Turla использует новый бэкдор в атаках на США и Афганистан

Группировка Turla использует новый бэкдор в атаках на США и Афганистан

Группировка Turla использует новый бэкдор в атаках на США и Афганистан

Специалисты по кибербезопасности из Cisco Talos наткнулись на новый бэкдор, который, как оказалось позже, использовался в атаках ATP-группы Turla. Напомним, что зарубежные коллеги связывают деятельность этой кибергруппировки с Россией.

По словам экспертов, вредонос сравнительно прост в исполнении, но при этом способен долго оставаться незаметным в заражённой системе. Turla использовала этот бэкдор в целевых кибератаках на США, Германию и Афганистан.

Согласно данным Cisco Talos, обнаруженный зловред используется с прошлого года. Для его сокрытия преступники устанавливают в системе службу с именем Windows Time Service, которая позже позволяет им загружать и запускать файлы (в качестве второй стадии заражения).

Бэкдор также связывается со своим командным центром (C2) каждые пять секунд, чтобы проверить поступление новых команд. Связь устанавливается по зашифрованному каналу.

С помощью C2 злоумышленники могут включить дополнительные функции вредоносной программы, связанные с аутентификацией, выполнением процессов, загрузкой или выгрузкой файлов, сменой паролей и т. п.

В Cisco Talos считают, что Turla использовала описанный бэкдор в таргетированных атаках на правительство Афганистана. Приписать вредонос именно этой группировке удалось благодаря повторному использованию одной вредоносной инфраструктуры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ARMA Industrial Firewall появилась поддержка протокола СПОДЭС

Группа компаний InfoWatch представила обновление промышленного межсетевого экрана ARMA Industrial Firewall до версии 3.15. Новая версия ориентирована на повышение защиты критической инфраструктуры, в том числе промышленных и энергетических объектов.

Главное нововведение — поддержка промышленного протокола СПОДЭС, разработанного ПАО «Россети» для передачи данных с интеллектуальных приборов учёта электроэнергии.

Благодаря глубокой инспекции этого протокола экран способен контролировать и защищать каналы обмена информацией между оборудованием, что особенно актуально на фоне роста кибератак на энергетическую инфраструктуру.

В числе других изменений — автоматическая загрузка индикаторов компрометации (IoC), предоставляемых ФСТЭК России. Ранее такие данные приходилось вводить вручную, теперь же система может оперативно применять защитные меры по поступающим признакам угроз.

Кроме того, в версии 3.15 улучшены инструменты мониторинга и интеграции: реализовано отслеживание состояния системы по протоколу SNMP, добавлен контроль состояния дисков и доработаны функции управления. Это позволяет быстрее обнаруживать сбои и снижать риски простоев.

По словам представителей компании, развитие линейки ARMA связано с ростом числа атак на промышленные сети и необходимостью адаптации решений под требования российских регуляторов и специфику отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru