Warning: session_start(): open(/var/cpanel/php/sessions/ea-php54/sess_r0ddomk6d4p0bmeoo6f2f3odv4, O_RDWR) failed: No space left on device (28) in /home/itextreme/public_html/index.php on line 3
IT-Extreme - Kelet-európai diplomatákat támad hamis Adobe Flash telepítőkkel a Turla

Lap tetejére
Hirek Tesztek RSS facebook
IT-Extreme hírportál
Számítástechnika
sulaki - 2018-01-17

A Turla csoport kelet-európai diplomatákat támad hamis Adobe Flash telepítőket alkalmazva

Az ESET új kártevőt azonosított, amelyet a hírhedt Turla csoport használ politikai szervezetek elleni támadásra a kelet-európai régióban. Az ESET szakembereinek felfedezése szerint az új vírus egy Adobe weboldaláról származó hamis szoftvernek álcázva magát próbálja rávenni az áldozatokat a kártevő telepítésére, amelynek célja a személyes adatok megszerzése.

 

A Turla csoport korábban már használt hamis telepítőket a kártevői célba juttatásához, azonban ez az első eset, amikor a rosszindulatú program egy hivatalos Adobe URL-ről és IP-címről töltődik le. Az ESET szakemberei bíznak abban, hogy a Turla kártevői nem fertőztek meg egyetlen hivatalos
Flash
Player frissítést sem, illetve nem kapcsolódnak semmilyen Adobe termék ismert sebezhetőségéhez.

 

Az
Adobe Flash
visszaélések


A Turla csoport tevékenységét évek óta figyelő ESET szakemberei megállapították, hogy az új kártevőt egy hivatalos
Flash
Player mellé sikerült betenniük a bűnözőknek, amely látszólag az adobe.com oldalról érkező programnak tűnik. A végpont szempontjából a távoli IP-cím az Akamaihoz, az Adobe által a
Flash
telepítő terjesztéséhez használt hivatalos Content Delivery Network (CDN) hálózathoz tartozik.

 

Az ESET szakemberei azonban észrevették, hogy a hamis Flash telepítők egy GET kérést hajtottak végre, amelynek célja a személyes információk kinyerése a fertőzött rendszerekből. Az ESET telemetria szerint a Turla telepítők legalább 2016 júliusa óta szivárogtatják az adatokat a get.adobe.com
URL
-ek segítségével. A hivatalos domainek használata igen nehézzé teszi a hálózati forgalom felderítését a vállalatok számára, és ez egyben jól mutatja azt is, hogy a Turla csoport mennyire rejtve szeretne maradni.

 

„A Turla üzemeltetői számtalan trükkös módszert találtak arra, hogy rávegyék a gyanútlan felhasználókat egy látszólag hivatalos program letöltésére, és elég okosak ahhoz, hogy elrejtsék a rosszindulatú hálózati forgalmukat” - mondta Jean-Ian Boutin, az ESET kártevőkutatója. „Még a legtapasztaltabb felhasználók is becsaphatók, hogy letöltsenek egy kártevőt, amely látszólag az Adobe.com oldalról érkezik, mivel az
URL
és az IP-cím az Adobe hivatalos infrastruktúráját utánozza. Minden általunk vizsgált letöltés http-n keresztül történt, így azt javasoljuk a szervezeteknek, hogy tiltsák le a titkosítatlan kapcsolaton keresztül érkező futtatható fájlok letöltését. Ez jelentősen csökkenti a Turla támadásainak hatékonyságát, mivel sokkal nehezebb beékelődni vagy módosítani egy titkosított
HTTPS
kapcsolatot. Ezen kívül a fájlok digitális aláírásának ellenőrzése igazolhatja a sejtelmeket egy gyanús esemény során, mert ezek a fájlok nem rendelkeznek aláírással, az Adobe telepítői viszont igen.
Ezek a lépések segítenek elkerülni a Turla csoport legújabb támadásait.”

 

A Turla jelenlétére utaló nyomok

Az ESET szakemberei biztosak abban, hogy ezek a támadások ez elsősorban a volt szovjet utódállamok területét támadó Turla csoporthoz köthetők. A hamis Flash telepítők egy Mosquito elnevezésű backdoor programot tartalmaznak, amelyet korábban egy Turla csoporthoz köthető kártevőként azonosítottak. Ezen kívül néhány vezérlőszerver (C&C) a SATCOM IP-címeket használó backdoor programokhoz kapcsolható, amelyek szintén a Turla csoporthoz kötődnek. Az ESET termékei a kártevő főkomponensét "Win32/Turla.XX" néven képesek detektálni, és a fertőzést blokkolni.

 

 

A Turla csoport új kártevőjéről itt olvashatnak mélyebb elemzést.


Warning: Unknown: open(/var/cpanel/php/sessions/ea-php54/sess_r0ddomk6d4p0bmeoo6f2f3odv4, O_RDWR) failed: No space left on device (28) in Unknown on line 0

Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/cpanel/php/sessions/ea-php54) in Unknown on line 0