Аналитики GDATA обнаружили новую потенциальную кампанию злоумышленников, которые используют вредоносные файлы-ярлыки для внедрения бэкдоров и обхода системной защиты. Кампания, известная как Turla, использует платформу Microsoft для создания приложений и обходит различные механизмы защиты, такие как исправления памяти и отключение функций регистрации событий.
Turla APT
Вредоносный файл-ярлык был распространен через компрометированный веб-сайт газеты Philippine Daily Inquirer. После выполнения файла-ярлыка запускается сценарий PowerShell, который разворачивает безфайловый бэкдор в системе. Бэкдор маскируется под обычный pdf-документ и использует имя файла, связанное с Philippine Statistic Authority (PSA), чтобы создать ложное ощущение связи с официальными источниками. Вредоносный файл-ярлык также создает запланированную задачу, которая поддерживает существование бэкдора в системе. Бэкдор, защищенный инструментом обфускации SmartAssembly, скрывает свою полезную нагрузку и уклоняется от обнаружения путем отключения функции Event Tracing for Windows (ETW) и обхода интерфейса Windows Antimalware Scan Interface (AMSI). Он также устанавливает соединение с командно-контрольным сервером через различные URL-адреса.
Indicators of Compromise
URLs
- http://files.philbendeck.com/about/.jsp
- http://files.philbendeck.com/article/.jsp
- http://files.philbendeck.com/file/.jsp
- http://files.philbendeck.com/help/.jsp
- https://ies.inquirer.com.ph/advprod03/assets/images/Advisory23-UCDMS04-11-01.zip
SHA256
- 7091ce97fb5906680c1b09558bafdf9681a81f5f524677b90fd0f7fc0a05bc00
- b6abbeab6e000036c6cdffc57c096d796397263e280ea264eba73ac5bab39441
- c2618fb013135485f9f9aa27983df3371dfdcb7beecde86d02cee0c258d5ed7f
- cac4d4364d20fa343bf681f6544b31995a57d8f69ee606c4675db60be5ae8775
