A Turla csoport kelet-európai diplomatákat támad hamis Adobe Flash telepítőket alkalmazva

forrás: Prím Online, 2018. január 16. 15:29

Az ESET új kártevőt azonosított, amelyet a hírhedt Turla csoport használ politikai szervezetek elleni támadásra a kelet-európai régióban. Az ESET szakembereinek felfedezése szerint az új vírus egy Adobe weboldaláról származó hamis szoftvernek álcázva magát próbálja rávenni az áldozatokat a kártevő telepítésére, amelynek célja a személyes adatok megszerzése.

A Turla csoport korábban már használt hamis telepítőket a kártevői célba juttatásához, azonban ez az első eset, amikor a rosszindulatú program egy hivatalos Adobe URL-ről és IP-címről töltődik le. Az ESET szakemberei bíznak abban, hogy a Turla kártevői nem fertőztek meg egyetlen hivatalos Flash Player frissítést sem, illetve nem kapcsolódnak semmilyen Adobe termék ismert sebezhetőségéhez.

 

Az Adobe Flash visszaélések

A Turla csoport tevékenységét évek óta figyelő ESET szakemberei megállapították, hogy az új kártevőt egy hivatalos Flash Player mellé sikerült betenniük a bűnözőknek, amely látszólag az adobe.com oldalról érkező programnak tűnik. A végpont szempontjából a távoli IP-cím az Akamaihoz, az Adobe által a Flash telepítő terjesztéséhez használt hivatalos Content Delivery Network (CDN) hálózathoz tartozik.

 

Az ESET szakemberei azonban észrevették, hogy a hamis Flash telepítők egy GET kérést hajtottak végre, amelynek célja a személyes információk kinyerése a fertőzött rendszerekből. Az ESET telemetria szerint a Turla telepítők legalább 2016 júliusa óta szivárogtatják az adatokat a get.adobe.com URL-ek segítségével. A hivatalos domainek használata igen nehézzé teszi a hálózati forgalom felderítését a vállalatok számára, és ez egyben jól mutatja azt is, hogy a Turla csoport mennyire rejtve szeretne maradni. 

 

 

„A Turla üzemeltetői számtalan trükkös módszert találtak arra, hogy rávegyék a gyanútlan felhasználókat egy látszólag hivatalos program letöltésére, és elég okosak ahhoz, hogy elrejtsék a rosszindulatú hálózati forgalmukat” - mondta Jean-Ian Boutin, az ESET kártevőkutatója. „Még a legtapasztaltabb felhasználók is becsaphatók, hogy letöltsenek egy kártevőt, amely látszólag az Adobe.com oldalról érkezik, mivel az URL és az IP-cím az Adobe hivatalos infrastruktúráját utánozza. Minden általunk vizsgált letöltés http-n keresztül történt, így azt javasoljuk a szervezeteknek, hogy tiltsák le a titkosítatlan kapcsolaton keresztül érkező futtatható fájlok letöltését. Ez jelentősen csökkenti a Turla támadásainak hatékonyságát, mivel sokkal nehezebb beékelődni vagy módosítani egy titkosított HTTPS kapcsolatot. Ezen kívül a fájlok digitális aláírásának ellenőrzése igazolhatja a sejtelmeket egy gyanús esemény során, mert ezek a fájlok nem rendelkeznek aláírással, az Adobe telepítői viszont igen. Ezek a lépések segítenek elkerülni a Turla csoport legújabb támadásait.”

 

A Turla jelenlétére utaló nyomok

Az ESET szakemberei biztosak abban, hogy ezek a támadások ez elsősorban a volt szovjet utódállamok területét támadó Turla csoporthoz köthetők. A hamis Flash telepítők egy Mosquito elnevezésű backdoor programot tartalmaznak, amelyet korábban egy Turla csoporthoz köthető kártevőként azonosítottak. Ezen kívül néhány vezérlőszerver (C&C) a SATCOM IP-címeket használó backdoor programokhoz kapcsolható, amelyek szintén a Turla csoporthoz kötődnek. Az ESET termékei a kártevő főkomponensét "Win32/Turla.XX" néven képesek detektálni, és a fertőzést blokkolni.

 

A Turla csoport új kártevőjéről itt olvashatnak mélyebb elemzést.

Biztonság ROVAT TOVÁBBI HÍREI

Jégkorong VB: Kockázatos lehet, ha videostreammel nézzük

Javában tart az IIHF Jégkorong Világbajnokság Szlovákiában, és az NHL Stanley Cup rájátszásai is zajlanak. Nyilvánvaló, hogy sok rajongó, aki személyesen nem tud részt venni az eseményeken, folyamatosan keresi az online videostream lehetőségeket, hogy élőben szurkolhasson kedvenc csapatainak. Az ESET szakemberei összegyűjtöttek néhány fontos tanácsot azzal kapcsolatban, milyen biztonsági kockázatokkal járnak az ingyenes streameket kínáló oldalak.

2019. május 24. 10:03

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

A Vodafone bemutatta, mire képes Budapest első állandó 5G bázisállomása

2019. május 23. 15:50

Magyarország első állandó, élő 5G bázisállomását indította el a Vodafone Zalaegerszegen

2019. május 20. 11:20

A Cellum által fejlesztett Erste MobilePay applikáció NFC funkcióval gazdagodik

2019. május 6. 15:02

Közel 50 millió forint EU-s támogatást kapott a MIDI Mobil ID Innovációs KFT.

2019. április 25. 11:05
online sportfogadás