Аналитики компании Mandiant сообщили, что русскоязычная кибершпионская группа Turla захватила управляющие серверы старого ботнета Andromeda, закрытого властями и ИБ-специалистами еще в 2017 году. C&C-серверы Andromeda, похоже, использовались Turla для тщательного изучения скомпрометированных хостов, чтобы найти среди них подходящие для разведывательных и шпионских операций.
Компания Mandiant, принадлежащая Google, отслеживает эту операцию Turla как кластер угроз UNC4210. Исследователи пишут, что захваченные хакерами серверы соответствуют образцам малвари Andromeda (также известной как Gamarue и Wauchos), которые были загружены на VirusTotal еще в 2013 году.
Исследователи объясняют, что участники Turla дождались истечения срока регистрации ряда доменов и захватили часть старой инфраструктуры ботнета, ликвидированного еще в 2017 году. Напомню, что тогда ботнет закрывали буквально всем миром. В совместной операции приняли участие ФБР, Интерпол, киберподразделение Европола (EC3), Евроюст, Объединенная целевая группа по борьбе с киберпреступностью (J-CAT), а также правоохранительные органы Германии. Частный сектор, в свою очередь, представляли специалисты компаний Microsoft, ESET, Registrar of Last Resort, а также ICANN, FKIE, BSI и многие другие.
«Еще в сентябре 2022 года UNC4210 перерегистрировала как минимум три C&C-домена ANDROMEDA после истечения срока их регистрации и начала профилирование жертв для выборочного развертывания KOPILUWAK и QUIETCANARY», — рассказывают специалисты Mandiant.
Таким образом, Mandiant полагает, что Turla использует старые заражения Andromeda в качестве механизма для распространения собственных вредоносов, а также может воспользоваться тем фактом, что Andromeda могла распространяться через зараженные USB-накопители.
«Вредоносное ПО, распространяющееся через USB, по-прежнему является полезным вектором для получения первоначального доступа к сетям организаций, — отмечается в отчете. — Поскольку старое вредоносное ПО ANDROMEDA продолжает распространяться посредством скомпрометированных USB-устройств, перерегистрированные домены представляют опасность, поскольку новые злоумышленники могут взять их под контроль и доставить новые вредоносные программы жертвам».
К примеру, в одном инциденте, проанализированном аналитиками Mandiant, зараженный USB-накопитель был использован на машине неназванной украинской организации в декабре 2021 года. Это привело к развертыванию устаревшей версии Andromeda на хосте при запуске файла вредоносной ссылки (.LNK), маскировавшейся под папку на USB-накопителе.
Так как злоумышленники использовали один из захваченных в январе 2022 года доменов (которые раньше являлись частью инфраструктуры ботента) для профилирования жертв, управляющий сервер передал на эту зараженную машину дроппер KOPILUWAK, JavaScript-утилиту для проведения сетевой разведки.
Двумя днями позже, 8 сентября 2022 года, атака перешла в заключительную фазу с внедрением малвари QUIETCANARY (также известной под названием Tunnus), что в итоге привело к хищению файлов из системы жертвы.
«Эта новая техника захвата просроченных доменов, используемая широко распространенными, финансово мотивированными вредоносными программами, может обеспечить вторичную компрометацию широкого круга организаций. Кроме того, старые вредоносные программы и их инфраструктура могут быть упущены из виду защитниками, занимающимися сортировкой различных предупреждений», — предупредили специалисты.