Группировка Turla использует новый бэкдор в атаках на США и Афганистан

Группировка Turla использует новый бэкдор в атаках на США и Афганистан

Группировка Turla использует новый бэкдор в атаках на США и Афганистан

Специалисты по кибербезопасности из Cisco Talos наткнулись на новый бэкдор, который, как оказалось позже, использовался в атаках ATP-группы Turla. Напомним, что зарубежные коллеги связывают деятельность этой кибергруппировки с Россией.

По словам экспертов, вредонос сравнительно прост в исполнении, но при этом способен долго оставаться незаметным в заражённой системе. Turla использовала этот бэкдор в целевых кибератаках на США, Германию и Афганистан.

Согласно данным Cisco Talos, обнаруженный зловред используется с прошлого года. Для его сокрытия преступники устанавливают в системе службу с именем Windows Time Service, которая позже позволяет им загружать и запускать файлы (в качестве второй стадии заражения).

Бэкдор также связывается со своим командным центром (C2) каждые пять секунд, чтобы проверить поступление новых команд. Связь устанавливается по зашифрованному каналу.

С помощью C2 злоумышленники могут включить дополнительные функции вредоносной программы, связанные с аутентификацией, выполнением процессов, загрузкой или выгрузкой файлов, сменой паролей и т. п.

В Cisco Talos считают, что Turla использовала описанный бэкдор в таргетированных атаках на правительство Афганистана. Приписать вредонос именно этой группировке удалось благодаря повторному использованию одной вредоносной инфраструктуры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Участники CyberCamp рассказали, как киберучения помогли им в реальной жизни

С 20 по 25 октября пройдёт четвёртый по счёту онлайн-кэмп CyberCamp — одно из крупнейших практических событий в сфере кибербезопасности. В этом году основная тема — киберустойчивость: участники будут учиться не только защищать инфраструктуру, но и быстро восстанавливать работу систем после атак.

За шесть дней кэмпа более тысячи специалистов из сотен ИБ-команд будут разбирать реальные сценарии кибератак и способов реагирования на них.

В программе — десятки докладов, практические задания, командные учения и круглые столы. Спикерами выступят эксперты из ведущих российских компаний — от разработчиков решений в области ИБ до представителей крупных ИТ-структур.

Организаторы отмечают, что особенность CyberCamp — приближённость заданий к реальной практике. Участники работают в условиях, близких к тем, что бывают при настоящих инцидентах: анализируют подозрительный трафик, ищут точки проникновения, устраняют последствия атак и восстанавливают системы.

«Сценарии моделировали атаки на веб-приложения, проникновение во внутреннюю сеть, расследование инцидента, реагирование и восстановление. Всё это максимально похоже на реальные ситуации, когда нужно действовать быстро и без полной информации», — вспоминает Артём Серов, участник корпоративной лиги CyberCamp от компании Nordgold.

Для многих участников участие в кэмпе становится не только профессиональным, но и личным испытанием.

«Я участвовал ради азарта — поработать в условиях ограниченного времени и высокой концентрации. Это отличный способ встряхнуться, выйти из рутины и проверить себя», — рассказывает Максим Митрохин из Т1-Иннотех.

При этом CyberCamp остаётся открытым и для новичков. Здесь можно получить базовые практические навыки, познакомиться с инструментами и попробовать себя в роли аналитика по безопасности.

«На CyberCamp я впервые поработал с Wireshark, и потом эти знания пригодились на работе. Задания были максимально приближены к реальности: нужно было понять, как произошёл взлом и какие данные утекли. Главное — не бояться пробовать новое», — говорит студент МИФИ Данил Антипов.

Похожий опыт у студента ВШЭ Артёма Глазыринa:

«Кэмп дал мне навыки анализа логов и работы с SIEM-системами. Эти знания я потом использовал на стажировке. Но главное даже не победа, а опыт и атмосфера — они реально помогают в развитии карьеры».

CyberCamp воспринимается участниками не просто как соревнование, а как площадка, где можно проверить свои знания, получить обратную связь и обменяться опытом с профессионалами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru