Атаки Epic Turla (snake/Uroburos)
ОПРЕДЕЛЕНИЕ ВИРУСА
Тип вируса: Сложная постоянная угроза (Advanced Persistent Threat, APT)
Что такое Epic Turla?
Turla, также известная как Snake или Uroburos, является одной из самых сложных существующих кампаний по кибершпионажу. Последние исследования «Лаборатории Касперского» показывают, что Epic - это первый этап многоэтапной атаки Turla.
Мишенями Epic являются государственные учреждения (Министерство внутренних дел, Министерство торговли, Министерство иностранных дел, спецслужбы), посольства, военные, научно-исследовательские и образовательные организации и фармацевтические компании.
Большинство жертв находятся на Ближнем Востоке и в Европе. Однако мы наблюдаем попытки заражения и в других регионах, в том числе в США. Эксперты «Лаборатории Касперского» подсчитали, что в общей сложности злоумышленникам удалось заразить несколько сотен компьютеров в более чем 45 странах мира. Возглавляет список Франция.
Атаки, проводимые в рамках данной кампании, можно разделить на несколько групп в зависимости от вектора первичного заражения компьютера:
- Целевые рассылки фишинговых писем с PDF-эксплойтами (CVE-2013-3346 + CVE-2013-5065
- Атаки с применением социальной инженерии с целью убедить пользователя запустить вредоносный установщик с расширением .SCR, иногда упакованный в архив RAR
- Атаки типа watering hole с применением Java-эксплойтов (CVE-2012-1723), Flash-эксплойтов (неизвестные уязвимости) и эксплойтов для Internet Explorer 6, 7, 8 (неизвестные уязвимости)
- Атаки типа watering hole, в которых приемы социальной инженерии применяются с целью убедить пользователя запустить вредоносный установщик, замаскированный под инсталлятор Flash Player
Детали атаки
Для заражения жертв киберпреступники применяют как адресные фишинговые рассылки (spearphishing), так и атаки типа watering hole. Watering hole, или waterhole (буквально – водопой), – это популярный среди атакуемых сайт, который взломан злоумышленниками и используется ими для раздачи вредоносного кода. В зависимости от IP-адреса посетителя сайта (например, IP-адрес правительственной организации) злоумышленники используют Java-эксплойты или эксплойты для браузера, фальшивый экземпляр Adobe Flash Player или фейковую версию Microsoft Security Essentials.
В общей сложности нам известно о более 100 зараженных сайтов. Выбор сайтов не является случайным и дает определенное представление об интересах злоумышленников. Например, многие из зараженных сайтов на территории Испании принадлежат муниципальным властям (мэриям).
Как только происходит заражение, бэкдор Epic немедленно связывается с командным сервером (C&C) и отправляют на него информацию о системе жертвы. Бэкдор также известен как “WorldCupSec”, “TadjMakhal”, “Wipbot” или “Tadvig”.
После заражения компьютера злоумышленники получают краткую информацию о зараженной системе, и на ее основании доставляют предварительно сконфигурированные пакеты команд для выполнения. Кроме того, злоумышленники загружают на зараженное устройство несколько инструментов, применяемых для дальнейшего распространения по сети. К ним относятся клавиатурный шпион, архиватор RAR и стандартные утилиты, такие как инструмент для формирования DNS-запросов, созданный Microsoft.
Как узнать, не заражен ли мой компьютер вредоносной программой Epic Turla
Лучший способ определить, стали ли вы жертвой Epic Turla, - это выяснить, имело ли место вторжение. Идентификация угрозы может быть выполнена с помощью надежного антивирусного продукта, такого как защитные решения «Лаборатории Касперского».
Продукты «Лаборатории Касперского» детектируют следующие модули Epic Turla:
Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
Как защититься от Epic Turla
- Постоянно производите обновления операционной системы и всех сторонних приложений, особенно Java, Microsoft Office и Adobe Reader, обновленные
- Не устанавливайте программное обеспечение из ненадежных источников, например, с незнакомого сайта
- Будьте осторожны с электронными письмами из неизвестных источников, содержащих подозрительные вложения или ссылки.
Защитное решение должно быть включено всегда, и все его компоненты должны быть активными. Базы данных защитного решения должны быть обновлены
Другие материалы по теме «Вредоносные угрозы»
Атаки Epic Turla (snake/Uroburos)
Kaspersky
