Отчеты о целевых атаках (APT)

Кампания Epic Turla

Раскрытие некоторых тайн Snake/Uroburos

turla

 Technical Appendix with IOCs

Краткое содержание

В течение последних 10 месяцев эксперты «Лаборатории Касперского» осуществляют анализ крупномасштабной кампании по кибершпионажу, которой мы присвоили название «Epic Turla». Злоумышленникам, организовавшим эту кампанию, удалось заразить несколько сотен компьютеров в более чем 45 странах мира, принадлежащих, в частности, государственным учреждениям, посольствам, военным, исследовательским центрам и фармацевтическим компаниям.

Известно, что в ходе атак применено как минимум два эксплойта нулевого дня:

  • CVE-2013-5065 – уязвимость в Windows XP и Windows 2003, позволяющая атакующим повысить свои привилегии в системе
  • CVE-2013-3346 – уязвимость в Adobe Reader, дающая атакующим возможность выполнения произвольного кода

Кроме того, при проведении этих атак злоумышленники используют эксплойты для более старых уязвимостей (для которых уже выпущены патчи), приемы социальной инженерии и методы watering-hole. Главный бэкдор, применяемый в атаках Epic, известен также под именами WorldCupSec, TadjMakhal, Wipbot и Tavdig.

На момент публикации компанией G-Data в феврале информации о Turla/Uroburos некоторые вопросы оставались без ответа. Один из наиболее значимых касался вектора заражения, используемого вредоносной программой Turla (она же Snake и Uroburos). Наш анализ показал, что компьютеры жертв заражаются путем сложной многоэтапной атаки, на первом этапе которой применяется бэкдор Epic Turla. Со временем, когда злоумышленники становятся более уверенными в успехе, на смену этому бэкдору приходят более сложные – такие как система Carbon/Cobra. Иногда оба бэкдора работают в тандеме, «спасая» друг друга в случае потери связи с одним из них.

После сбора злоумышленниками – без ведома пользователя – необходимых им конфиденциальных сведений атакующие устанавливают бэкдор и другие механизмы, позволяющие надежно закрепиться в системе.

По состоянию на август 2014 года атаки продолжаются; киберпреступники предпринимают активные попытки заражения пользователей в Европе и на Ближнем Востоке.

Замечание: Подробный анализ атак Epic доступен подписчикам Kaspersky Intelligence Services. Адрес для связи: intelreports@kaspersky.com

Атаки Epic Turla

Атаки, проводимые в рамках данной кампании, можно разделить на несколько групп в зависимости от вектора первичного заражения компьютера:

  • Целевые рассылки фишинговых писем с PDF-эксплойтами (CVE-2013-3346 + CVE-2013-5065)
  • Атаки с применением социальной инженерии с целью убедить пользователя запустить вредоносный установщик с расширением .SCR, иногда упакованный в архив RAR
  • Атаки типа watering hole с применением Java-эксплойтов (CVE-2012-1723), Flash-эксплойтов (неизвестные уязвимости) и эксплойтов для Internet Explorer 6, 7, 8 (неизвестные уязвимости)
  • Атаки типа watering hole, в которых приемы социальной инженерии применяются с целью убедить пользователя запустить вредоносный установщик, замаскированный под инсталлятор Flash Player

Для заражения жертв киберпреступники применяют как адресные фишинговые рассылки (spearphishing), так и атаки типа watering hole. Watering hole, или waterhole (буквально – водопой), – это популярный среди атакуемых сайт, который взломан злоумышленниками и используется ими для раздачи вредоносного кода.

На данный момент мы сталкивались с использованием против жертв только вложений, а не собственно электронных сообщений. Вложения в PDF-формате при открытии не показывают жертвам никакого содержимого, а пакеты SCR иногда после успешной установки демонстрируют чистый PDF-файл.

turla

Ниже перечислены некоторые известные нам имена вложений, используемых в адресных фишинговых атаках:

  • ؤتمر جنيف.rar (перевод названия с арабского: «женевская конференция.rar»)
  • NATO position on Syria.scr
  • Note_№107-41D.pdf
  • Talking Points.scr
  • border_security_protocol.rar
  • Security protocol.scr
  • Program.scr

В некоторых случаях имена файлов дают определенное представление о том, что представляют собой жертвы, против которых направлены атаки киберпреступников.

Атаки типа watering hole

В настоящее время злоумышленники, стоящие за атаками Epic, поддерживают обширную сеть сайтов-приманок (watering holes), каждый из которых с хирургической точностью рассчитан на привлечение определенной категории посетителей.

Вот несколько примеров вредоносных сайтов:

turla
Сайт мэрии города Piñor (Испания)

turla
Сайт для привлечения предпринимателей в пограничные районы Румынии

turla
Министерство иностранных дел Палестинской автономии

В общей сложности нам известно о более 100 зараженных сайтов. В настоящее время наибольшее число таких сайтов находится в Румынии.

На диаграмме показано число зараженных сайтов по странам:

turla

Очевидно, что такое распределение сайтов по странам не является случайным и дает определенное представление об интересах злоумышленников. Например, многие из зараженных сайтов на территории Румынии находятся в уезде Муреш, а многие из зараженных сайтов в Испании принадлежат муниципальным властям (мэриям).

Большинство зараженных сайтов создано на основе системы управления контентом TYPO3 (https://typo3.org/). Возможно, это говорит о том, что злоумышленники опираются на конкретную уязвимость в этой платформе.

Вредоносные сайты загружают в браузер жертвы JavaScript:

turla

Скрипт sitenavigatoin.js предназначен для определения браузера и подключаемых модулей в духе Pinlady. Он, в свою очередь, перенаправляет пользователя на PHP-скрипт, который иногда имеет имя main.php или wreq.php. Иногда злоумышленники регистрируют на сервере расширение.JPG как открываемое по умолчанию PHP-обработчиком, что позволяет запускать PHP-скрипты, замаскированные под JPG-файлы:

turla
Профилирующий скрипт

Главный скрипт, обеспечивающий эксплуатацию уязвимости, называется «wreq.php», «main.php» или «main.jpg». Он выполняет несколько задач. Мы обнаружили несколько версий этого скрипта, которые задействуют разные механизмы эксплуатации.

Одна из версий скрипта пытается эксплуатировать уязвимости в Internet Explorer версий 6, 7 и 8:

turla
Скрипт для эксплуатации уязвимости в Internet Explorer

К сожалению, обнаружить эксплойты для Internet Explorer пока не удалось.

Другая, более поздняя версия пытается эксплуатировать уязвимости в Oracle Sun Java и Adobe Flash Player:

turla
Скрипты для эксплуатации уязвимостей в Java и Flash Player

Эксплойты для Flash Player также не удалось обнаружить, однако мы сумели получить Java-эксплойты:

Имя MD5
allj.html 536eca0defc14eff0a38b64c74e03c79
allj.jar f41077c4734ef27dec41c89223136cf8
allj64.html 15060a4b998d8e288589d31ccd230f86
allj64.jar e481f5ea90d684e5986e70e6338539b4
lstj.jar 21cbc17b28126b88b954b3b123958b46
lstj.html acae4a875cd160c015adfdea57bd62c4

Java-файлы используют широко известную уязвимость – CVE-2012-1723 – в различных конфигурациях.

Эти Java-эксплойты доставляют на компьютер жертвы следующую полезную нагрузку:

MD5: d7ca9cf72753df7392bfeea834bcf992

Java-эксплойт использует специальный загрузчик, который пытается внедрить в процесс explorer.exe полезную нагрузку, содержащуюся в бэкдоре Epic. В бэкдоре, извлекаемом из Java-эксплойтов, в явном виде прописан следующий командный сервер:

www.arshinmalalan[.]com/themes/v6/templates/css/in.php

Этот командный сервер по-прежнему действует, однако в настоящее время он перенаправляет запросы на страницу, которая в данный момент заблокирована – hxxp://busandcoachdirectory.com[.]au. (Полный список C&C серверов см. в Appendix.)

Организаторы атак Epic Turla очень гибко подходят к применению эксплойтов и методов атаки в зависимости от того, что доступно в данный момент. В последнее время они стали использовать еще один прием в сочетании с атаками типа watering hole. Он состоит в использовании социальной инженерии, чтобы убедить пользователя запустить фальшивый экземпляр Flash Player (MD5: 030f5fdb78bfc1ce7b459d3cc2cf1877):

turla

По крайней мере в одном случае злоумышленники пытались спровоцировать пользователя на загрузку и запуск фальшивого приложения Microsoft Security Essentials (MD5: 89b0f1a3a667e5cd43f5670e12dba411):

turla

Фальшивое приложение подписано действительным цифровым сертификатом, принадлежащим компании Sysprint AG:

Serial number: ‎00 c0 a3 9e 33 ec 8b ea 47 72 de 4b dc b7 49 bb 95
Thumbprint: ‎24 21 58 64 f1 28 97 2b 26 22 17 2d ee 62 82 46 07 99 ca 46

turla
Действительная цифровая подпись, принадлежащая компании Sysprint AG, которой подписан дроппер Epic

Для распространения этого файла использовался сайт Министерства иностранных дел Таджикистана, находящийся по адресу hxxp://mfa[.]tj/upload/security.php.

Файл представляет собой приложение .NET, содержащее зашифрованный ресурс, из которого извлекается вредоносный файл с MD5 7731d42b043865559258464fe1c98513.

Это бэкдор Epic, имеющий внутренний идентификатор 1156fd22-3443-4344-c4ffff. Он устанавливает соединения со следующими командными серверами:

hxxp://homaxcompany[.]com/components/com_sitemap/
hxxp://www.hadilotfi[.]com/wp-content/themes/profile/

Полный список URL С&C серверов, обнаруженных нами в самплах, можно посмотреть в Appendix.

Инфраструктура командных серверов Epic

Управление бэкдорами Epic осуществляется через большую сеть взломанных серверов, используемых в качестве командных серверов.

Большая сеть, управляемая организаторами атак Epic Turla, выполняет несколько задач. В частности, серверы – «базы» используются одновременно в качестве площадок для раздачи эксплойтов и как панели управления вредоносным ПО.

Вот как выглядит схема атаки:

turla
Жизненный цикл Epic Turla

Командные прокси-серверы первого уровня в общем случае обмениваются данными с прокси-серверами второго уровня, которые, в свою очередь, обмениваются данными с сервером, играющим роль базы для проведения атак. Это, как правило, VPS (виртуальный выделенный сервер), на котором работает программная панель управления, используемая для взаимодействия с компьютерами жертв. Злоумышленники управляют «базой» через сеть прокси-серверов и VPN-серверов для обеспечения собственной анонимности. «База» также используется в атаках watering hole для размещения и доставки на компьютеры жертв эксплойтов для Java и IE или фальшивых приложений.

Нам удалось получить в свое распоряжение копию одного из серверов – «баз», что позволило нам лучше понять схему организации атак.

На сервере работает защищенная паролем панель управления:

turla
Вход в панельуправления сервера – «базы» Epic

После авторизации в панели управления злоумышленники видят общую информацию о системе, включая число перспективных потенциальных целей атаки:

turla
Обзор статуса атаки в панели управления Epic

Большой интерес представляет размещенный на серверах файл task.css, в котором злоумышленники регистрируют интересующие их диапазоны IP-адресов. Для редактирования файла используется «Task editor» (редактор задач) из меню панели управления. В зависимости от «задач» принимается решение о заражении или отказе от заражения посетителей сайта. В данном случае мы обнаружили два целевых диапазона IP-адресов, принадлежащие:

  •  «Страна 1» – сеть Федерального правительства
  •  «Страна 2» – сеть Управления связи и информатики

Здесь нужно отметить следующее. Тот факт, что злоумышленники организовали атаку на данные диапазоны адресов, не обязательно означает, что компьютеры с этими адресами были заражены. В списках целевых IP-диапазонов было также обнаружено несколько IP-адресов, владельцы которых неизвестны.

Еще один файл, представляющий интерес – except.css, используемый злоумышленниками как журнал причин, по которым не делались попытки атаковать тех или иных посетителей сайта. Имеются три возможных значения:

  • TRY (пытаться)
  • DON’T TRY -> Version of the browser and OS does not meet the conditions (не пытаться -> версии браузера и ОС не соответствуют критериям)
  • DON’T TRY -> (2012-09-19 10:02:04) — checktime < 60 (не пытаться (2012-09-19 10:02:04) – контрольное время < 60)

В журнале содержится информация о следующих версиях, «не соответствующих критериям»:

  • Windows 7 or 2008 R2
  • MSIE 8.0
  • Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)
  • Adobe Shockwave 11.5.1.601
  • Adobe Flash 10.3.181.14
  • Adobe Reader 10.1.0.0
  • Win Media Player 12.0.7601.17514
  • Quick Time null
  • MS Word null
  • Java null

Бэкдор Epic / Tavdig / Wipbot

На этом – первом – этапе атаки злоумышленники используют специально созданный бэкдор. В некоторых случаях бэкдор используется в связке с эксплойтом к уязвимости CVE-2013-5065 для повышения привилегий в системе и подвергается сильной обфускации, что затрудняет анализ.

Эксплойт к CVE-2013-5065 позволяет бэкдору получить в зараженной системе привилегии администратора и работать без ограничений. Данный эксплойт эффективен только на компьютерах с системой Microsoft Windows XP, в которой не установлен соответствующий патч.

Другие известные имена, под которыми может детектироваться данный бэкдор, –Trojan.Wipbot (Symantec) и Tavdig.

Главный бэкдор имеет размер около 60 КБ. Протокол, используемый им для связи с командным сервером, основан на отправке данных поверх обычных HTTP-запросов. В ответах, посылаемых командным сервером, используются запросы вида xxx, которые расшифровываются и обрабатываются вредоносной программой. Ответы отправляются на командный сервер по тому же каналу.

Поведение вредоносной программы определяется в конфигурационном блоке, который, как правило, содержит два жестко запрограммированных URL-адреса командных серверов. Нам также известно об одном случае, когда в конфигурационном блоке был прописан только один URL-адрес. Атакующие имеют возможность через командный сервер на лету обновлять конфигурацию.

Бэкдор пытается обнаружить следующие процессы и при успешном обнаружении прекращает свою работу:

  • tcpdump.exe
  • windump.exe
  • ethereal.exe
  • wireshark.exe
  • ettercap.exe
  • snoop.exe
  • dsniff.exe

Вредоносная программа имеет собственный уникальный идентификатор, позволяющий командному серверу идентифицировать жертву. У большинства образцов, особенно старых, идентификатор 1156fd22-3443-4344-c4ffff. После признания жертвы «интересной» злоумышленники загружают на компьютер еще один бэкдор Epic, имеющий уникальный идентификатор, обеспечивающий возможность управления работой вредоносного ПО на компьютере конкретной жертвы.

В первом запросе, посылаемом на командный сервер, бэкдор отправляет блок информации о зараженной системе. Все остальные данные, отправляемые на командный сервер, шифруются с помощью системы шифрования с открытым ключом, что делает расшифровку невозможной. Команды, посылаемые командным сервером, шифруются с помощью более простого алгоритма и могут быть расшифрованы, поскольку секретный ключ к шифру жестко запрограммирован во вредоносной программе.

Путем мониторинга нам удалось перехватить большое количество команд, отправляемых злоумышленниками жертвам. Это позволило получить уникальные сведения об атаках. Ниже в качестве примера приведен один из зашифрованных ответов командного сервера:

turla

После заражения жертвы и ее «регистрации» на сервере злоумышленники отправляют шаблонный набор команд:

turla

Затем они пытаются получить доступ к другим компьютерам в сети жертвы, используя список предопределенных или украденных паролей:

turla

Рекурсивный поиск всех файлов с расширением .doc – тоже постоянно встречающаяся «тема»:

turla

В общей сложности мы расшифровали несколько сотен подобных пакетов команд, доставленных на компьютеры жертв. Это дало нам уникальную возможность получить представление о схеме работы злоумышленников.

Наряду с поисками по общим признакам были обнаружены и попытки поиска конкретных данных. В частности, злоумышленники искали:

  • *NATO*.msg
  • eu energy dialogue*.*
  • EU*.msg
  • Budapest*.msg

В данном случае атакующих интересовали электронные письма, имеющие отношения к темам< "НАТО", "Энергетический диалог в рамках Европейского Союза" и т.д.

На некоторых из командных серверов киберпреступники реализовали шифрование журналов с помощью алгоритма RSA, что делает их расшифровку невозможной. Эта схема была реализована в апреле 2014 года.

turla

Распространение по сети и замена на более сложные бэкдоры

После заражения компьютера жертвы злоумышленники загружают на него несколько инструментов, применяемых для дальнейшего распространения по сети.

Пример подобного инструмента, использованного в ходе атаки и сохраненного под именем C:Documents and SettingsAll usersStart MenuProgramsStartupwinsvclg.exe:

Имя: winsvclg.exe
MD5: a3cbf6179d437909eb532b7319b3dafe
Дата компиляции: вторник, 02 октября 2012 г., 13:51:50

Это клавиатурный шпион. Он создает файл %temp%~DFD3O8.tmp. Замечание: имя файла может различаться у разных жертв. Например, на одном из компьютеров жертв, установленном в министерстве иностранных дел одной из стран Центральной Азии, было использовано имя файла adobe32updt.exe.

Мы обнаружили, что кроме подобных нестандартных инструментов злоумышленники применяли и стандартные средства управления. Например, среди утилит, которые киберпреступники часто загружали на компьютеры жертв, был файл winrs.exe:

Имя: winrs.exe
MD5: 1369fee289fe7798a02cde100a5e91d8

Это сжатый упаковщиком UPX бинарный файл, содержащий подлинную утилиту dnsquery.exe, созданную Microsoft. MD5 распакованного файла: c0c03b71684eb0545ef9182f5f9928ca.

В нескольких случаях мы столкнулись с интересной заменой бэкдора на вредоносную программу из другого семейства, родственного данному.

Размер: 275,968 байтов
MD5: e9580b6b13822090db018c320e80865f
Дата компиляции: четверг, 08 ноября 2012 г. 11:05:35

и еще один пример:

Размер: 218,112 байтов
MD5: 071d3b60ebec2095165b6879e41211f2
Дата компиляции: четверг, 08 ноября 2012 г. 11:04:39

Это более сложный бэкдор, относящийся к средствам кибершпионажа более высокого уровня, который организаторы атак Turla называют «системой Carbon», или «Cobra». Известно о существовании нескольких подключаемых модулей «системы Carbon».

turla
Расшифрованный конфигурационный блок e9580b6b13822090db018c320e80865f

Замечание: командные серверы www.losguayaberos[.]com и thebesttothbrushes[.]com заблокированы «Лабораторией Касперского» с применением технологии sinkhole.

Среди пакетов, доставляемых на компьютеры жертв, присутствуют следующие:

MD5: c7617251d523f3bc4189d53df1985ca9
MD5: 0f76ef2e6572befdc2ca1ca2ab15e5a1

Эти пакеты верхнего уровня используются для развертывания как обновленных версий бэкдоров Epic, так и бэкдоров Turla системы Carbon на компьютерах пользователей, отобранных злоумышленниками на роль жертв. Фактически, это означает, что кампании Epic и Turla составляют единое целое.

Дроппер Turla Carbon, доставляемый в этих пакетах, имеет следующие характеристики:

MD5: cb1b68d9971c2353c2d6a8119c49b51f

Он используется для развертывания вредоносной программы, которую злоумышленники именуют «система Carbon» и которая входит в состав проекта «Cobra», как видно из оставленной в коде отладочной информации:

turla

Он выполняет функции дроппера для следующих модулей – как 32-разрядных, так и 64-разрядных:

MD5 Номер ресурса
4c1017de62ea4788c7c8058a8f825a2d 101
43e896ede6fe025ee90f7f27c6d376a4 102
e6d1dcc6c2601e592f2b03f35b06fa8f 104
554450c1ecb925693fedbb9e56702646 105
df230db9bddf200b24d8744ad84d80e8 161
91a5594343b47462ebd6266a9c40abbe 162
244505129d96be57134cb00f27d4359c 164
4ae7e6011b550372d2a73ab3b4d67096 165

По сути, система Carbon – это расширяемая платформа, очень похожая на другие платформы для проведения атак, таких как Tilded или Flame. Плагины для системы Carbon легко распознать, поскольку в них всегда есть как минимум две экспортируемые функции со следующими именами:

  • ModuleStart
  • ModuleStop

turla
Плагин системы Carbon с характерными экспортируемыми функциями

Похоже, что несколько бэкдоров Epic тоже создавались в расчете на использование в качестве плагинов для системы Carbon – для их запуска на компьютерах жертв, на которых не развернута система Carbon, необходим специализированный загрузчик.

Некоторые из модулей содержат объекты, свидетельствующие о том, что в настоящее время используется версия 3.x системы Carbon, но при этом в образцах очень редко бывает обозначена конкретная версия системы Carbon.

turla

В коде модуля Carbon, приведенного выше в качестве примера, можно также найти указание на автора – «gilg». Такое же авторство имеют еще несколько модулей Turla.

Мы планируем подготовить отчет, в котором система Turla Carbon будет описана более подробно.

turla

Языковые артефакты

В состав полезной нагрузки, извлеченной с одного из серверов – «баз» (по адресу newsforum.servehttp[.]com/wordpress/wp-includes/css/img/upload.php, MD5: 4dc22c1695d1f275c3b6e503a1b171f5, дата компиляции: четверг, 06 сентября 2012 г. 14:09:55) входят два модуля – загрузчик/модуль внедрения и бэкдор. Внутреннее имя, используемое бэкдором, – Zagruzchik.dll:

turla

«Zagruzchik» – это русское слово загрузчик.

Кроме того, в панели управления серверов – «баз» Epic установлена кодовая страница 1251:

turla

Как правило, кодовая страница 1251 используется для отображения кириллических символов.

Есть и другие признаки, свидетельствующие о том, что английский язык – не родной для злоумышленников:

  • Password it´s wrong!
  • Count successful more MAX
  • File is not exists
  • File is exists for edit

В образце e9580b6b13822090db018c320e80865f, доставленном на компьютеры нескольких жертв Epic в качестве обновленной версии бэкдора, имеется информация о том, что при компиляции система работала с языком кодовой страницы «LANG_RUSSIAN».

turla

Как правило, организаторы кампании Epic используют для размещения своих прокси-серверов взломанные серверы, управление которыми осуществляется через PHP-вебшелл, защищенный паролем; проверка которого осуществляется путем сопоставления MD5-хешей:

turla

Как удалось установить экспертам «Лаборатории Касперского», MD5 «af3e8be26c63c4dd066935629cf9bac8» соответствует паролю «kenpachi». В феврале 2014 года мы видели, что злоумышленники, стоящие за бэкдором Miniduke, применяют на взломанных серверах тот же бэкдор, однако с гораздо более надежным паролем.

Интересно, что вебшелл также использует кодовую страницу 1251, созданную для отображения кириллических символов.

Отметим, что этим связь между Turla и Miniduke не ограничивается, однако этот вопрос мы оставим для будущего постинга.

Статистика по жертвам атак

На некоторых из командных серверов, задействованных в атаках Epic, нам удалось обнаружить подробные статистические данные по жертвам атак, которые сохранялись злоумышленниками для целей отладки.

На диаграмме ниже показаны 20 стран, наиболее пострадавших от атак, на основе данных о географическом распределении IP-адресов жертв:

serpent_map-4-hires-02

Исходя из общедоступной информации об IP-адресах, можно выделить следующие категории жертв атак Epic:

  • Государственные органы
    • Министерство внутренних дел (страна – член ЕС)
    • Министерство торговли и коммерции (страна – член ЕС)
    • Министерство иностранных дел (азиатская страна, страна – член ЕС)
    • Спецслужбы (Ближний Восток, страна – член ЕС)
  • Посольства
  • Военные (страна – член ЕС)
  • Образование
  • Исследовательские структуры (Ближний Восток)
  • Фармацевтические компании
  • Неизвестно (невозможно определить по IP-адресу/имеющимся данным)

Резюме

Когда компания G-Data опубликовала свой отчет по Turla, было доступно очень мало информации о том, каким образом в ходе данной вредоносной кампании происходит заражение жертв. Осуществленный нами анализ позволяет сделать вывод, что мы имеем дело со сложной, многоэтапной схемой заражения, в рамках которой компьютеры жертв сначала заражаются вредоносной программой Epic Turla. Эта программа используется для того, чтобы закрепиться в системе и оценить, действительно ли жертва занимает высокое положение и представляет интерес для злоумышленников. Если интерес присутствует, то программа заменяется на систему Turla Carbon.

Последняя на данный момент известная нам попытка атаковать пользователя «Лаборатории Касперского» имела место 5 августа 2014 года. Это говорит о том, что кампания по-прежнему находится в активной фазе.

Замечание: Подробный анализ атак Epic доступен подписчикам Kaspersky Intelligence Services. Адрес для связи: intelreports@kaspersky.com

Тем, кто хочет прочитать еще про Turla/Uroburos, мы рекомендуем:

Имена детектов продуктов «Лаборатории Касперского» для всех самплов вредоносных программ, описанных в данном посте:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

 Technical Appendix with IOCs

Кампания Epic Turla

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Oleg

    >> командные серверы… заблокированы… с применением технологии sinkhole
    Что за синкхол?

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике