Было замечено, что Turla, известный российский злоумышленник, предположительно связанный с Кремлем, перерабатывает устаревшее вредоносное ПО десятилетней давности, чтобы получить доступ к конечным точкам в Украине и шпионить за своими целями.
В отчете специалистов по кибербезопасности Mandiant выяснилось, что в середине 2022 года Turla перерегистрировала домены с истекшим сроком действия для Andromeda, распространенного банковского трояна, который был широко распространен почти десять лет назад, в 2013 году.
Тем самым группа возьмет на себя управление серверами управления вредоносным ПО (C2), получив доступ к ранее зараженным конечным точкам и их конфиденциальной информации.
Скрытый на виду
По мнению исследователей, одним из преимуществ этого нового подхода является возможность продолжать скрывать исследователей кибербезопасности.
«Поскольку вредоносное ПО уже распространилось через USB, Turla может воспользоваться этим, не подвергая себя опасности. Вместо использования своих USB-инструментов, таких как Agent.btz, они могут располагаться поверх чужих», — сказал Джон Халтквист, главный аналитик разведки Mandiant. «Они пользуются операциями других людей. Это очень разумный способ ведения бизнеса.
Но тревогу у Mandiant вызвал тот факт, что Andromeda включала в себя два вспомогательных вредоносных ПО: инструмент разведки Kopiluwak и бэкдор Quietcanary. Он был первым, кто подарил его, поскольку это инструмент, который Turla тоже использовала раньше.
Всего в прошлом году было перерегистрировано 3 домена с истекшим сроком действия, в результате чего были зафиксированы «сотни» заражений Andromeda, каждый из которых давал Turla доступ к секретным данным. «Сделав это, вы сможете спрятаться гораздо лучше. Вы не рассылаете спам группе людей, вы позволяете кому-то другому спамить группу людей», — говорит Халтквист. «Затем вы начали выбирать, какие цели стоят вашего времени и усилий».
По словам ученых, Turla использовала этот новый подход для определения конечных точек в Украине, добавив, что на данный момент это единственная страна, на которую нацелена атака.
Через: по кабелю (откроется в новой вкладке)