Бэкдор группировки Turla получал инструкции через файлы PDF

Эксперты ESET закончили изучение бэкдора, который принадлежит кибершпионской группе Turla. Вирус использовался злоумышленниками для кражи персональных данных, атаковались преимущественно госучреждения в странах Европы. Для управления вредоносной программой использовалась программа Microsoft Outlook, инструкции отправлялись через файлы PDF.

Анализ показал, что распространять бэкдор начали еще в 2013 году либо раньше. Цели выявленной компании типичны для Turla. Уже выявлены несколько оборонных компаний и гос.структур (все находятся в Европе), атакованных опасным вирусом. Вероятно, преступники используют вредоносную утилиту для сохранения контроля над сетями с ограниченным доступом, которые хорошо защищены средствами сетевой безопасности.

Последние версии вируса функционируют в виде автономной DLL. Для управления операторы используют обычные электронные письма, к которым прикреплены специально подготовленные PDF-файлы. Такие документы позволяют передавать на скомпрометированный ПК различные инструкции: запуск других утилит, загрузка файлов, отправить на сервер данные.

Когда пользователь отправляет или получает письмо, вирус сохраняет основную информацию о нем (тема, название вложения, адреса получателя и отправителя). Утилита также дублирует всю исходящую корреспонденцию, отправляя копии на сервер злоумышленников. Письма уходят одновременно, поэтому сторонний трафик в нерабочее время полностью отсутствует.

Вирус проверяет все входящие сообщения на наличие прикрепленных PDF-документов. Фактически, любой может отправить нужные команды вредоносной программе, внедрив их в файл.

Чтобы скрыть вредоносную деятельность, бэкдор скрывает уведомления о поступлении письма от операторов, письма при этом также не отображаются в интерфейсе почтовой программы. Однако в течение нескольких секунд можно наблюдать индикатор непрочтенного сообщения.

Смотреть аниме онлайн