Компания ESET — лидер в области информационной безопасности — сообщает о распространении новых инструментов на основе PowerShell злоумышленниками Turla. В частности, недавно специалистами ESET было обнаружено несколько атак на дипломатические учреждения в Восточной Европе.
Использование сценариев PowerShell позволяет киберпреступникам напрямую загружать в память и осуществлять выполнение вредоносных файлов и библиотек. Благодаря этим инструментам, Turla может обойти методы выявления во время загрузки вредоносного программного обеспечения на диск.
«Вместе с новым загрузчиком на основе PowerShell компании Turla были выявлены и проанализированы несколько компонентов, включая бэкдор на основе RPC и бэкдор PowerShell, использующие сервис облачных хранилищ OneDrive от Microsoft как собственный командный сервер», — рассказывают исследователи ESET.
Загрузчики на основе PowerShell, обнаруженные специалистами ESET, отличаются от простых бэкдоров своей способностью оставаться в системе как можно дольше, поскольку они регулярно загружают в память только встроенные исполняемые файлы. В некоторых образцах киберпреступники Turla изменили свои сценарии PowerShell для обхода защитного механизма AMSI (Antimalware Scan Interface). Данный прием затрудняет возможность получения некоторыми антивирусами данных с интерфейса AMSI для сканирования.
«Однако эти методы не препятствуют выявлению актуальных вредоносных компонентов в памяти», — объясняют специалисты ESET.
Среди компонентов, которые недавно использовались компанией Turla, также выделяют набор бэкдоров на основе протокола RPC. Эти бэкдоры выполняют дополнительные действия и осуществляют управление другими устройствами в локальной сети без использования внешнего командного сервера.
Стоит отметить, что шпионская группа Turla, также известная как Snake, использует сложное вредоносное программное обеспечение для атак на организации государственного значения. Считается, что их деятельность началась с атаки на Вооруженные силы США в 2008 году. Также злоумышленники осуществляли многочисленные атаки на правительственные учреждения в Европе и на Ближнем Востоке. Среди их целей — Министерство иностранных дел Германии и Вооруженные силы Франции.
Специалисты компании ESET постоянно анализируют и усовершенствуют инструменты защиты для своевременного выявления угроз и обеспечения надежной защиты пользователей от современных видов вредоносных программ.
Подробную информацию об угрозе и индикаторы компрометации можно найти по ссылке.