Специалисты компании ESET предупреждают, что  русскоязычная группировка Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton) компрометирует сайты в Армении, включая официальные политические ресурсы. Также было замечено, что группировка использует новые образцы вредоносного ПО.

Схема атаки

Новая кампания была выявлена во время анализа атаки типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.

В качестве приманки злоумышленники использовали фальшивое обновление для Adobe Flash, и по меньшей мере четыре армянских сайта были взломаны, в том числе два принадлежащих правительству ресурса. То есть предполагаемыми целями хакеров являются правительственные чиновники и политики. Так, в числе  пострадавших ресурсов были сайты Консульского отдела Посольства Армении в России, Министерства охраны природы и природных ресурсов Республики Арцах, Армянский институт международных отношений и безопасности и так далее. Причем, по мнению аналитиков, ресурсы были взломаны еще в начале 2019 года.

Фальшивое обновление

Turla внедрила код этих сайтов JavaScript, загружавшийся с внешнего домена, который прекратил доставку скриптов еще в ноябре 2019 года (то есть кампания завершилась примерно в это время). Внешний домен выполнял тщательный фингерпринтинг, и только отдельные интересующие хакеров жертвы получали дополнительную полезную нагрузку в виде фейкового обновления для Adobe Flash. Судя по всему, именно по причине такой избирательности кампания и оставалась незамеченной так долго.

Обфусцированный код JavaScript, внедренный в веб-сайт mnp.nkr[.]am
До сентября 2019 года обманутым пользователям устанавливали малварь Skipper, которая была впервые задокументирована еще в 2017 году. В период с сентября по ноябрь 2019 года вредоносный домен распространял новый загрузчик под названием NetFlash, который отвечал за загрузку  бэкдора PyFlash. Эксперты ESET считают, что это первый случай, когда разработчики Turla использовали язык Python в бэкдоре.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии