Новости Хак-группа Turla атаковала армянские сайты

betting accounts

Покупка букмекерских аккаунтов
Местный

betting accounts

Покупка букмекерских аккаунтов
Местный

Специалисты компании ESET
Пожалуйста , Вход или Регистрация чтобы увидеть ссылку!
, что русскоязычная группировка Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton) компрометирует сайты в Армении, включая официальные политические ресурсы. Также было замечено, что группировка использует новые образцы вредоносного ПО.

83EAC9DE-2070-4769-A594-927AF7C0C68A.jpeg
Схема атаки

Новая кампания была выявлена во время анализа атаки типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.


В качестве приманки злоумышленники использовали фальшивое обновление для Adobe Flash, и по меньшей мере четыре армянских сайта были взломаны, в том числе два принадлежащих правительству ресурса. То есть предполагаемыми целями хакеров являются правительственные чиновники и политики. Так, в числе пострадавших ресурсов были сайты Консульского отдела Посольства Армении в России, Министерства охраны природы и природных ресурсов Республики Арцах, Армянский институт международных отношений и безопасности и так далее. Причем, по мнению аналитиков, ресурсы были взломаны еще в начале 2019 года.

5320088E-8C5F-405D-AB34-31617240DB2F.jpeg
Пожалуйста , Вход или Регистрация чтобы увидеть ссылку!
Фальшивое обновление

Turla внедрила код этих сайтов JavaScript, загружавшийся с внешнего домена, который прекратил доставку скриптов еще в ноябре 2019 года (то есть кампания завершилась примерно в это время). Внешний домен выполнял тщательный фингерпринтинг, и только отдельные интересующие хакеров жертвы получали дополнительную полезную нагрузку в виде фейкового обновления для Adobe Flash. Судя по всему, именно по причине такой избирательности кампания и оставалась незамеченной так долго.

D22000B8-C98F-4634-92B7-61F580364908.jpeg
Пожалуйста , Вход или Регистрация чтобы увидеть ссылку!
Обфусцированный код JavaScript, внедренный в веб-сайт mnp.nkr[.]amДо сентября 2019 года обманутым пользователям устанавливали малварь Skipper, которая была впервые задокументирована еще в 2017 году. В период с сентября по ноябрь 2019 года вредоносный домен распространял новый загрузчик под названием NetFlash, который отвечал за загрузку бэкдора PyFlash. Эксперты ESET считают, что это первый случай, когда разработчики Turla использовали язык Python в бэкдоре.
 
Сверху Снизу