На проходящей в Монреале конференции Virus Bulletin «Лаборатория Касперского» представила результаты исследования активности APT-группы Turla в 2018 году. По данным экспертов, ее арсенал значительно обновился, притом злоумышленники явно стали отдавать предпочтение скриптам и open-source-кодам при создании вредоносных программ.

Русскоязычная группировка Turla, она же Snake, Venomous Bear, Waterbug и Uroboros, известна ИБ-сообществу с 2014 года. Ее основными мишенями являются госструктуры и посольства, а также военные, образовательные, исследовательские учреждения и фармацевтические компании. Атаки Turla с целью кибершпионажа зафиксированы в десятках стран; наиболее активно она действует в странах НАТО и в постсоветском пространстве. Инструментарий APT-группы обширен, включает кастомные бэкдоры и эксплойты нулевого дня и постоянно обновляется.

По словам докладчика Курта Баумгартнера (Kurt Baumgartner), в текущем году Turla выпустила новые версии Carbon, модифицировала Mosquito и продолжила совершенствовать IcedCoffee и KopiLuwak. Сложный бэкдор Carbon, созданный в 2014 году, получил другой оркестратор и другие обновления. Он был замечен в атаках на правительственные учреждения и внешнеполитические ведомства в Средней Азии, хотя иногда находил применение в научно-технической сфере.

«Фреймворк Carbon — это сочетание прежней элегантной и работоспособной кодовой базы, иногда называемой «облеченный Snake», и упорного стремления выборочно мониторить особо важные цели, — пишут исследователи в блоге. — Похоже на то, что бэкдор теперь устанавливается вместе с meterpreter. Судя по модификациям и развертыванию кода в 2018 году, разработка этой зрелой кодовой базы и выборочное использование продолжатся и в 2019-м».

В состав Mosquito были введены инструменты с открытым исходным кодом, позаимствованные из проекта Metasploit. Участники Turla используют этот бэкдор против внешнеполитических ведомств в Европе, Средней Азии, Латинской Америке и Юго-Восточной Азии. «Mosquito сфокусирован на дипломатических представительствах и правительственных организациях и последовательно придерживается этого профиля, — подчеркнул в своем докладе Баумгартнер, — а в плане географии он не столь избирателен».

Эксперт также отметил интересную особенность Mosquito: тот доставляется жертве через MitM-атаку с использованием WiFi-связи. Данные телеметрии «Лаборатории Касперского» за этот год показали перехват сеансов загрузки с сайта Adobe и внедрение троянизированных инсталляторов бэкдора. «В 2108 году техники внедрения и доставки кода претерпели изменения: появились рефлексивная загрузка и другие усовершенствования, — пишут исследователи. — Мы полагаем, что в 2019 году развитие Mosquito продолжится».

Из других инструментов часто пускались в ход родственные Javascript-бэкдоры —простенький IcedCoffee, используемый для загрузки других зловредов, и более разносторонний KopiLuwak. Последний летом был замечен в атаках на научно-исследовательский институт по проблемам энергетики, а также на государственные учреждения Сирии и Афганистана.

Эксперт «Лаборатории Касперского» Майк Скотт (Mike Scott), тоже выступивший на VB-2018, отметил частичное сходство кодов KopiLuwak и Zebrocy — зловреда, которым оперирует группировка Sofacy: «Третий слой кода у обоих одинаков. Видимо, он был создан одним и тем же инструментом или генератором».

Просмотрев новую коллекцию, исследователи пришли к выводу, что Turla сменила подход к разработке, отдав предпочтение готовым кодам. «Мы не ожидали такого поворота, — говорит Баумгартнер. — Они годами использовали невероятно сложный руткит, выбирая высокопоставленные, интересные цели, а теперь переходят на скрипты и открытый исходный код. Эксплойты нулевого дня тоже стали более редкими — в этом году мы их вообще не видели. Ни тебе руткитов, ни «водопоя». Что-то случилось с этой группой, такие перемены на пустом месте не бывают».

Категории: Аналитика, Вредоносные программы, Хакеры