Хакеры Turla атакуют пользователей Microsoft Outlook

Специалисты ESET выполнили анализ бэкдора кибершпионской группы Turla, который использовался для кражи конфиденциальных данных госучреждений в странах Европы. Хакеры управляли программой через Microsoft Outlook, отправляя команды в PDF-файлах во вложении.

Вредоносная программа была установлена на нескольких компьютерах Федерального министерства иностранных дел Германии. Чтобы достичь этой цели, операторы Turla скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не проникли в МИД в марте 2017 года. Далее на протяжении 2017 года Outlook-бэкдор обеспечивал хакерам доступ к данным, включая почту сотрудников.

Операторы Turla используют для связи с бэкдором электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. Так они могут отправлять на зараженный компьютер целый ряд команд: выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы. Собранная информация также будет отправлена хакерам в PDF.

Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами. Фактически, вредоносная программа выполнит команды любого, кто сможет закодировать их в PDF-документе. В свою очередь, операторы Turla могут восстановить контроль, отправив бэкдору соответствующий запрос с любого адреса электронной почты.

Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах.

Кроме того, бэкдор дублирует своим операторам все исходящие письма жертвы. Почта уходит одновременно с отправкой настоящих писем, поэтому подозрительный трафик за пределами рабочего дня пользователя отсутствует. 

Чтобы скрыть свою активность, бэкдор блокирует уведомления о входящих письмах от операторов. Отправленная хакерам почта также не отображается в почтовом ящике. Тем не менее, в момент поступления письма с командами жертва может видеть индикатор непрочтенного входящего сообщения в течение нескольких секунд.

Новейшие версии бэкдора нацелены на Microsoft Outlook, более старые позволяли также работать с почтовым клиентом The Bat!, популярным в Восточной Европе.

Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты – MAPI. Это существенная доработка в сравнении с прежними версиями бэкдора. По мнению специалистов ESET, Turla – единственная кибергруппа, которая использует в настоящее время подобные инструменты. 

Кибергруппа Turla (Snake, Uroboros) получила известность в 2008 года после взлома защищенных объектов, включая сеть Центрального командования ВС США. В списке жертв – Министерство иностранных дел Финляндии (2013 г.), швейцарская оборонная корпорация RUAG (2014–2016 гг.), правительство Германии (конец 2017–начало 2018 гг.).

Версия для печатиВерсия для печати

Регион: 

Рубрики: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя mike

А кто-то юзает аутлук?

:)

Аватар пользователя Piton

mike пишет:

А кто-то юзает аутлук?

:)

По этим данным доля Outlook - 7% и пятое место. Если брать только десктопные клиенты - первое место.

P.S. Никакого Thunderbird и т.п. даже близко в рейтинге нет.

Аватар пользователя savely

А что там понимается под "email-клиент"? Я как-то темен (серьезно). И если база писем не может у меня лежать локально, а еще и сморится в браузере - как не очень "email-клиент". Дежавю...

P.S. IMAP - отличная штука. В том плане, что я юзаю IMAP и он лучше POP3.

Клиент - The Bat!. Деньги внесены. 

savely пишет:

А что там понимается под "email-клиент"? Я как-то темен (серьезно). И если база писем не может у меня лежать локально, а еще и сморится в браузере - как не очень "email-клиент". Дежавю...

P.S. IMAP - отличная штука. В том плане, что я юзаю IMAP и он лучше POP3.

Клиент - The Bat!. Деньги внесены. 

The Bat! ещё жив?

Аватар пользователя savely

> The Bat! ещё жив?

Thunderbird еще жив? ;)

savely пишет:

> The Bat! ещё жив?

Thunderbird еще жив? ;)


Жив! И даже новые версии выходят!

+1
Аватар пользователя mike

Не поверите: не юзал актлук НИ РАЗУ.

:)

Угадайте почему.

:)

Наверное, не нашли его версию под Линукс... А я юзаю. На работе. Как и наши сотрудники. Хотя да, необязательно. Можно и через веб-морду. Но народ привык. И, опять же, там трулу не просунешь особо.

Эдуард пишет:

Наверное, не нашли его версию под Линукс... А я юзаю. На работе. Как и наши сотрудники. Хотя да, необязательно. Можно и через веб-морду. Но народ привык. И, опять же, там трулу не просунешь особо.


Традиции (С).

P.S.

Некоторые и древние гаубицы программы обработки видео в виртуальной машине (эмуляторе Windows 95) до сих пор поди запускают. smiley