El Turla Los hackers son un colectivo penal famosa que son ampliamente conocidos para ejecutar ataques complejos contra las grandes empresas e instituciones gubernamentales. Los expertos en seguridad han detectado que son responsables de una campaña en curso piratería a gran escala contra las embajadas y consulados principalmente en Europa utilizando técnicas de manipulación de red avanzada.
Los signos de alerta temprana: Turla hackers sospechosos de un ataque peligroso
los investigadores de seguridad informática fueron alertados de un ataque informático combinado. El análisis en profundidad muestra que el colectivo es probablemente la causa más probable como una cadena de infección muy compleja se usa contra objetivos de alto perfil. La mayoría de las víctimas están destinados diplomáticos basa principalmente en Europa. Los operadores han utilizado copias modificadas de Flash Player para instalar una puerta trasera peligrosa llamada Mosquito que se atribuye al grupo. Durante la inicialización del software malicioso se conecta a los servidores de comando y control que se asociaron previamente con el grupo Turla en campañas anteriores.
El análisis del comportamiento también coincide con las firmas de otras familias de malware que se atribuyen al grupo de hackers Turla. Esto incluye no sólo secuencia de ejecución proceso similar, pero también avanzó componentes tales como la ofuscación de la cadena y el componente de resolución API. Con esto concluye que los piratas informáticos continúan sus intentos de intrusión contra objetivos de alto perfil, una vez más.
Los hackers Turla Emplear servidores de red y Manipulación de Adobe durante la infección
Los piratas informáticos han creado Turla copias falsificadas del reproductor de Flash que no es tan diferente a algunos de sus campañas anteriores. Sin embargo en lugar de utilizar tácticas conocidas, como mensajes de correo electrónico (con o sin técnicas de ingeniería social) y sitios de descarga falsificados, los archivos de malware parecen ser descargado directamente desde los servidores de Adobe. Como resultado intrusión servicios de detección y administradores de usuarios pueden ser engañados en permitir la instalación para continuar.
Tras una posterior inspección se descubrió que los piratas informáticos no utilizan la técnica de manipulación de campo de host. Los delincuentes manipulan este campo para apuntar a un servidor pirata informático controlado. Sin embargo, durante el análisis en profundidad se reveló que este no era el caso y los archivos de malware de hecho parecen estar disponibles desde los servidores de Adobe. El equipo de seguridad de la empresa, sin embargo indicar que se ha detectado ninguna intrusión.
Hay varias explicaciones posibles que están bajo consideración:
- Rogue servidor DNS - Las direcciones IP responden a los servidores reales utilizados por Adobe por lo que esta sugerencia fue rápidamente descartada.
- Hombre en el medio (MitM) Ataque - Los piratas informáticos Turla pueden utilizar una máquina comprometida encontrado en la red de las posibles víctimas. Usando una técnica de ARP Spoofing los criminales puede manipular el tráfico en tiempo real y redirigirlo a otras máquinas peligrosas. Durante la investigación a fondo de los ataques en curso no se han detectado este tipo de herramientas en los patrones de código y comportamiento. Si se emplea este método a continuación, una infección debe haberse realizado antes del lanzamiento de la campaña real.
- Hacked dispositivo de pasarela - En este caso los criminales se inmiscuyen en los dispositivos de puerta de enlace (enrutadores, servidores proxy y conmutadores de red) que el impacto de un gran número de víctimas. Este tipo de ataques dan Turla la capacidad de revisar y el tráfico entrante y saliente entre la red de área local e Internet.
- ISP Nivel de intrusiones - De una manera similar al grupo Turla puede modificar interfieren con los servidores de los proveedores de servicios de Internet propios (ISP). La mayoría de los objetivos se encuentran en los antiguos países de la URSS y utilizan al menos cuatro proveedores diferentes. Este escenario sería probable si los hackers tienen la capacidad de monitorizar el tráfico de red en diferentes países al mismo tiempo,.
- BGP secuestro - El último escenario posible es un ataque al secuestro de BGP. Esto se puede hacer mediante el uso de un sistema autónomo de anunciar un prefijo que pertenece al sitio de Adobe. Esto permitiría que el tráfico de red que se dirige a los sitios de hackers controlado. El grupo afectado sería usuarios que se encuentran cerca de los lugares peligrosos. Sin embargo, esto es muy poco probable, ya que hay numerosos servicios que monitorean constantemente para tales prácticas de malware.
Efectivamente cualquier abuso de la red puede dar lugar a infecciones de malware de TI con cargas útiles arbitrarias. La campaña de ataque en curso parece conducir a una infección en su mayoría con una puerta trasera peligroso conocido como Mosquito.
Una conducta alternativa también se ha observado que el instalador de Flash ofrece dos puerta trasera basado en Javascript independientes en lugar de que el malware Mosquito. Se colocan en una carpeta del sistema utilizado por Microsoft y se denominan google_update_chcker.js y local_update_checker.js.
El primer caso se carga una aplicación web alojada en Google Apps Script. La aplicación se realiza de una manera tal que se espera una respuesta codificada base-64. Una vez que la orden necesaria se envía de nuevo el contenido se decodifica usando una función incorporada. Se presume que su propósito es descargar amenazas adicionales a la máquina. En otros casos puede ser utilizado para ejecutar comandos arbitrarios, así. El análisis de código que muestra como mosquito que puede ser instalado como una amenaza persistente mediante la adición de un valor de registro.
La segunda software malicioso JavaScript lee el contenido de un archivo ubicado en una carpeta del sistema y ejecuta su contenido. Tales virus se eliminan junto con sus archivos de configuración asociados. Son extremadamente peligroso ya que su comportamiento puede ser alterado dependiendo de cada huésped infectado. Se puede agregar un valor de registro con el fin de alcanzar un estado persistente de ejecución.
El Mosquito puerta trasera es la Turla hackers Arma
El análisis en profundidad de la carga útil principal utilizada por el grupo Turla es un backdoor llamado Mosquito. Los analistas señalan que esta es una versión actualizada de un una amenaza antiguo que ha sido utilizado desde 2009. Se disfraza como un instalador de Adobe Flash Player y puede engañar a la mayoría de usuarios, ya que contiene las firmas legítimas de Adobe. El código malicioso actual es en gran medida ofuscado (oculto) utilizando un mecanismo de cifrado personalizada. Una vez que la carga útil de malware se ha desplegado sigue un patrón de comportamiento predefinido.
Tras la infección de la puerta trasera Mosquito descifra a sí mismo y cae dos archivos en las carpetas del sistema. Los analistas señalan que incluye una Turla técnica de protección de sigilo que los buscadores para las cadenas que están asociados con el software de seguridad. En futuras versiones también puede ser utilizado en contra de otras herramientas como maquinas virtuales, cajas de arena y entornos de depuración. El mosquito de malware procede mediante la creación de una persistente estado de ejecución a través de una clave de registro de ejecución o secuestro COM. Esto también es seguido por una Registro de Windows modificación. Como resultado se ejecuta el código peligroso cada vez que se inicia el equipo.
Un recopilación de información fase sigue. El malware tiene la capacidad de extraer información sensible sobre el sistema y enviarlo a los piratas informáticos a través de un dominio de Adobe. Algunos de los datos de ejemplo incluye el ID único de la muestra, el nombre de usuario de los usuarios de la víctima o la tabla ARP de la red.
Con el fin de engañar a las víctimas a pensar que es un instalador legítimo un verdadero ejemplo de instalación de Adobe Flash es descargado y ejecutado. Dos fuentes se han encontrado identificado en las muestras capturadas - propio servidor de descargas de Adobe y un enlace de Google Drive.
Antes de que se ejecute el código principal de puerta trasera del proceso de instalación crea una cuenta administrativa separada llamada Asistente de ayuda o HelpAsistant tener la contraseña “sysQ!123”. El valor del sistema LocalAccountTokenFilterPolicy se establece en 1 (Cierto) que permite la administración remota. Los expertos en seguridad revelan que esto puede ser usado en conjunción con las operaciones de acceso remoto obtenidos por los delincuentes.
La invención Turla hackers - Capacidades del Mosquito Backdoor
El código principal puerta trasera utiliza los valores del registro de Windows cifrados mediante un algoritmo personalizado para configurándose. Los piratas informáticos Turla han incluido un escritor amplio archivo de registro. Los analistas señalan que escribe una marca de tiempo para cada entrada de registro. Esto es muy inusual para una puerta trasera como éste y probablemente utilizado por los autores para volver sobre las infecciones.
Al igual que otros similares puertas traseras se conecta a un comando de control de hackers y control (C&C) servidor para informar de cualquier interacción de ordenador. Esto se realiza durante un periodo de tiempo aleatorio, una técnica que evade exploraciones basadas en heurísticas. Los hackers pueden utilizar para enviar comandos arbitrarios y causar un mayor daño a los huéspedes infectados. El agente de usuario está configurado para aparecer como Google Chrome (versión 41).
Una lista de instrucciones predefinidas para facilitar la programación se incluye en la puerta trasera. La lista incluye las siguientes entradas:
- Descargar y ejecutar un archivo.
- Lanzamiento proceso.
- borrado de archivos.
- archivo exfiltración.
- De datos del almacén al Registro.
- Ejecutar orden y enviar la salida a C&Servidores C.
- Añadir un C&URL del servidor C.
- Eliminar un C&URL del servidor C.
Los hackers Ataque continuo Turla: Cómo contrarrestarlos
Por el momento el Mosquito puerta trasera está todavía en curso y que la seguridad de las investigaciones continúan buscando los orígenes de las intrusiones peligrosas el número de posibles objetivos sigue aumentando. El colectivo criminal Turla es ampliamente conocido por ser capaz de romper en objetivos de alto perfil, muchas de sus víctimas son las instituciones gubernamentales o grandes empresas internacionales. Los ataques de ingeniería social son notables por su complejidad, El analista también en cuenta que los ataques relacionados con la red avanzada son planeadas cuidadosamente para evitar toda clase de análisis y detección de intrusos.
Como se conoce a las firmas a disposición del público en general se aconseja a los usuarios de computadoras para escanear sus sistemas para cualquier infección de malware.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunters