Logo Zephyrnet

Generatywna analiza danych

Bezpieczeństwo cybernetyczne

Powiązany z Rosją Turla APT podstępnie kooptuje starożytne infekcje USB Andromedy

Opublikowane ponownie przez Plato
Opublikowane ponownie przez Plato

Data:

Odwiedzin: 204

Grupa hakerska – podejrzewana o powiązany z Rosją Turla Team – ponownie zarejestrowała co najmniej trzy stare domeny związane z działającym od dekady szkodliwym oprogramowaniem Andromeda, umożliwiając grupie dystrybucję własnych narzędzi rozpoznawczych i inwigilacyjnych do ukraińskich celów.

Firma Mandiant zajmująca się cyberbezpieczeństwem stwierdziła w czwartkowym oświadczeniu, że Zespół Turla APT, znany również pod oznaczeniem Mandianta jako UNC4210, przejął kontrolę nad trzema domenami, które były częścią nieistniejącej infrastruktury dowodzenia i kontroli (C2) Andromedy, aby ponownie połączyć się z zaatakowanymi systemami. Gra końcowa polegała na dystrybucji narzędzia rozpoznawczego o nazwie Kopiluwak i backdoora o nazwie QuietCanary.

Andromeda, gotowy komercyjny program złośliwego oprogramowania, którego historia sięga co najmniej 2013 roku i zagraża systemom poprzez zainfekowane dyski USB. Po kompromisie łączy się z listą domen, z których większość została wyłączona.

Nie ma związku między zespołem Turla a grupą stojącą za Andromedą, co sprawia, że ​​kooptowanie poprzednich zainfekowanych systemów jest całkiem nowatorskie, mówi Tyler McLellan, starszy główny analityk w Mandiant.

„Kooptowanie domen Andromedy i wykorzystywanie ich do dostarczania złośliwego oprogramowania ofiarom Andromedy to nowość” — mówi. „Widzieliśmy, jak cyberprzestępcy ponownie rejestrowali domeny innej grupy, ale nigdy nie zaobserwowaliśmy, aby grupa dostarczała złośliwe oprogramowanie ofiarom innej grupy”.

Powolne rozprzestrzenianie się Andromedy umożliwia atakującym bezpłatne przejęcie kontroli nad zainfekowanymi systemami.

„Ponieważ starsze złośliwe oprogramowanie Andromeda nadal rozprzestrzenia się z zainfekowanych urządzeń USB, te ponownie zarejestrowane domeny stanowią zagrożenie, ponieważ nowi aktorzy mogą przejąć kontrolę i dostarczać ofiarom nowe złośliwe oprogramowanie” — Mandiant podane w zaleceniu. „Ta nowatorska technika zgłaszania roszczeń do wygasłych domen, wykorzystywana przez szeroko rozpowszechnione, motywowane finansowo złośliwe oprogramowanie, może umożliwić kolejne kompromisy w wielu różnych podmiotach”.

Chociaż przejmowanie zainfekowanych zasobów innej grupy jest rzadkością, zdarzało się to w przeszłości, kiedy hakerzy walczyli o zainfekowane maszyny, kradli nawzajem swoje systemy lub wykorzystywali tę samą lukę w zabezpieczeniach do zainfekowania systemu i nadpisania poprzedniej infekcji. Na przykład na początku XXI wieku robak MyDoom infekował systemy, ale opuszczał zainfekowane komputery otwarte na dalsze ataki, co prowadzi do przepychanek między hakerami, którzy chcą zwiększyć liczbę atakowanych systemów.

Obecnie cyberprzestępcy częściej włamują się do systemów, a następnie sprzedają zainfekowane maszyny lub dane uwierzytelniające umożliwiające dostęp do tych systemów na podziemnych forach i ciemnych rynkach w ramach podekonomia brokera dostępu początkowego.

Infekcje wolno poruszającej się galaktyki Andromedy

Atak rozpoczął się w grudniu 2021 r., kiedy zainfekowany dysk USB został włożony do systemu w ukraińskiej organizacji, a pracownik nieumyślnie kliknął w złośliwy odsyłacz. Cyberatak zainfekował system wersją Andromedy po raz pierwszy widzianą w marcu 2013 roku przez usługę skanowania antywirusowego VirusTotal, stwierdził Mandiant.

Mandiant po raz pierwszy wykrył atak we wrześniu 2022 r. Turla to rosyjska grupa cyberprzestępców, która według danych firmy atakowała wiele różnych organizacji w około 45 krajach przez prawie dwie dekady. strona MITER ATT&CK.

Chociaż nie ma żadnego związku między Turla i Andromedą, wykorzystywanie złośliwego oprogramowania Andromeda do infekowania innych systemów pomogło utrzymać operację Turla pod kontrolą, mówi Tyler McLellan, starszy główny analityk w Mandiant.

„Mimo że Andromeda jest stara i prawdopodobnie nie działa dzisiaj, wciąż widzimy wiele ofiar” – mówi. „Gdy użytkownik wkłada czysty dysk USB do już zainfekowanego systemu, ten nowy dysk USB może zostać zainfekowany i kontynuować rozprzestrzenianie się”.

Starannie wybrane cele: bardzo specyficzne zagrożenie

Atakujący starali się pozostać jak najbardziej ukryci, tworząc profile systemów w celu określenia najciekawszych celów, a następnie atakując tylko kilka z tych systemów. Mandiant obserwował tylko serwery kontrolowane przez Turlę, które były aktywne przez krótki czas, zwykle kilka dni, z tygodniami przestojów, podała firma.

„Mandiant zidentyfikował kilka różnych hostów za pomocą próbek stagerów Andromedy” — stwierdziła firma w oświadczeniu. „Zaobserwowaliśmy jednak tylko jeden przypadek, w którym złośliwe oprogramowanie związane z Turla zostało usunięte w dodatkowych etapach, co sugeruje wysoki poziom szczegółowości w wyborze ofiar, które otrzymały kolejny ładunek”.

Operacja Turla Team podkreśla znaczenie eliminowania wektorów ataku i reagowania na incydenty, nawet jeśli wydają się one mieć niski priorytet, mówi McLellan.

„Firmy powinny zwracać uwagę na to, jakie urządzenia USB znajdują się w ich środowisku i zniechęcać pracowników do korzystania z nich, jeśli to możliwe”, mówi. „Ten incydent powinien również wzbudzić obawy dotyczące długoterminowych infekcji złośliwym oprogramowaniem w twoim środowisku i czy cyberprzestępca może przejąć tę infrastrukturę C2, aby uzyskać dostęp”.

spot_img

Najnowsza inteligencja

spot_img

Prawa autorskie @ 2024 Plato Technologies Inc.