俄罗斯连接的Turla APT使用新的恶意软件在浇水孔攻击中

俄罗斯联系的APT Group Turla在2019年秋季在大约两个月内推出了两种攻击中的一件新的恶意软件。

俄罗斯联系的APT组 Turla.在2019年秋季,在大约两个月内雇用了两块攻击中的攻击。

这 Turla. APT group (aka 乌鲁托斯番荔枝毒熊 and )自2007年以来,已激活于2007年,目标是中东,亚洲,欧洲,北美洲和南美洲和前苏联集团国家的外交和政府组织和私营企业。

先前已知的受害者名单很长,还包括 瑞士防御公司Ruag,美国国家部和美国中央司令部。

最近ESET专家发现了针对几个高调亚美尼亚网站的浇筑漏洞攻击。攻击者使用假冒Adobe Flash更新诱饵,以便通过专家NetFlash和Pyflash追踪的两个以前无证的恶意软件。

“ESET研究人员发现了一个浇水孔(AKA战略网妥协)操作,其针对几个高调的亚美尼亚网站。它依赖于假的Adobe Flash Update Lure,并提供两个以前未记录的恶意软件,我们被称为NetFlash和Pyflash。” reads the 分析 由ESET发布。

“在这个具体的操作中,Turla已经损害了至少四个亚美尼亚网站,包括两个属于政府的网站。”

作为这项活动的一部分,国家赞助的黑客损失了亚美尼亚大使馆的网站,俄罗斯,自然保护部,艺术家,亚美尼亚国际和安全事务研究所,亚美尼亚存款担保基金。专家认为,自2019年初以来,网站已被妥协。

黑客能够将代码注入网站,以将JavaScript从外部域加载(SkategirleChina [。] COM / WP-Computor / data_from_db_top [。] php)。专家注意到,该领域已停止于2019年11月提供脚本。

SkategirleChina [。] Com指纹浏览器和的第二阶段恶意Javascript

根据ESET遥测的说法,只有感兴趣的受害者,才能以假冒Adobe Flash更新的形式提供有效载荷,只有一个非常有限数量的游客是针对Turla的黑客。

2019年9月之前,ververs与包含合法Adobe Flash v14安装程序的RAR-SFX存档提供,其中包含包含组件的第二个RAR-SFX存档 船长后门.

从9月到2019年11月,Turla Hackers递送了一个以前未记录的.NET下载被称为NetFlash,它获取了一个名为pyflash的第二阶段后门。

pyflash是Turla使用的第一个基于Python的后门,它与其硬编码的C通信&C server via HTTP.

C.&C服务器还可以以JSON格式发送回程命令,下面支持的命令列表:

  • 从给定的http(s)链接下载其他文件。
  • 使用python函数子process32.popen执行Windows命令。
  • 更改执行延迟:根据定期修改Windows任务(默认情况下每个x分钟; 5)启动恶意软件。
  • kill(卸载)恶意软件。

“Turla仍然使用喷壶攻击作为其初始访问策略之一。有趣的是,这一广告系列依赖着一个着名的社会工程技巧 - 一个假冒Adobe Flash更新警告 - 以便诱导用户下载并安装恶意软件。”结束了报告。

“另一方面,有效载荷可能改变,可能是为了逃避检测,因为船长已经多年来众所周知。他们切换到NetFlash,安装后门我们调用pyflash,并以Python语言开发。”

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请