Хакерская группа Turla захватила инфраструктуру бывшего ботнета Andromeda
Мандиантные аналитики сообщилчто русскоязычная группа кибершпионажа Turla захватила контрольные серверы бывшего ботнета Andromeda, закрытого властями и специалистами по информационной безопасности в 2017 году. Судя по всему, Turla использовала командные серверы Andromeda для проверки скомпрометированных хостов с целью поиска подходящих для разведывательных и шпионских операций.
Google Mandiant отслеживает эту операцию Turla как кластер угроз UNC4210. Исследователи писали, что захваченные хакерами серверы соответствуют образцам вредоносных программ Andromeda (также известных как Gamarue и Wauchos), которые были загружены на VirusTotal в 2013 году.
Исследователи поясняют, что участники Turla дождались окончания регистрации ряда доменов и забрали часть старой инфраструктуры ботнета, которая была ликвидирована в 2017 году. Напомню, что на тот момент ботнет был буквально закрыт всем миром. . В совместной операции участвовали ФБР, Интерпол, Киберподразделение Европола (EC3), Евроюст, Объединенная рабочая группа по киберпреступности (J-CAT), а также правоохранительные органы Германии. Частный сектор, в свою очередь, был представлен специалистами Microsoft, ESET, Регистратора последней инстанции, а также ICANN, FKIE, BSI и многих других.
«В сентябре 2022 года UNC4210 перерегистрировал как минимум три домена ANDROMEDA C&C после истечения срока их регистрации и начал профилирование жертв для выборочного развертывания KOPILUWAK и QUIETCANARY», — говорят эксперты Mandiant.
Таким образом, Mandiant считает, что Turla использует старые инфекции Andromeda как механизм для распространения собственного вредоносного ПО, а также может воспользоваться тем, что Andromeda может распространяться через зараженные USB-накопители.
«Вредоносное ПО, которое распространяется через USB, по-прежнему является полезным вектором для получения начального доступа к сетям организации», — отмечается в отчете. «Поскольку старое вредоносное ПО ANDROMEDA продолжает распространяться через скомпрометированные USB-устройства, перерегистрированные домены представляют опасность, поскольку новые злоумышленники могут получить над ними контроль и доставить жертвам новое вредоносное ПО».
Например, в инциденте, проанализированном аналитиками Mandiant, зараженный USB-накопитель использовался на машине неназванной украинской организации в декабре 2021 года. Это привело к развертыванию устаревшей версии Andromeda на «хостах» при запуске вредоносной ссылки (. LNK), который маскируется под папку на USB-накопителе.
Поскольку злоумышленники использовали один из захваченных в январе 2022 года доменов (который был частью инфраструктуры ботнета) для профилирования жертв, управляющий сервер переместился на эту зараженную машину. капельница KOPILUWAKутилита JavaScript для выполнения сетевой разведки.
Двумя днями позже, 8 сентября 2022 г., атака вступила в завершающую фазу с внедрением вредоносного ПО QUIETCANARY (также известного как Логотип), что в итоге привело к краже файлов из системы жертвы.
«Эта новая техника захвата доменов с истекшим сроком действия, используемая широко распространенной и финансово мотивированной вредоносной программой, может обеспечить вторичную компрометацию для широкого круга организаций. Кроме того, старая вредоносная программа и ее инфраструктура могут быть упущены из виду защитниками, которые разбирают различные предупреждения», — предупредили эксперты. .
