Загадочный кластер ACIDBOX: переплетение кода с Turla и новые вопросы для исследователей кибербезопасности

Первоначальные предположения о возможной связи ACIDBOX с этими группами не подтвердились, но анализ кода выявил любопытные совпадения. Исследователь, работавший над созданием правил для обнаружения ACIDBOX, обнаружил фрагменты кода, которые совпадали с образцом Turla Nautilus, задокументированным NCSC еще в 2017 году. В частности, DLL-файл ACIDBOX (с хешем SHA-256: eb30a1822bd6f503f8151cb04bfd315a62fa67dbfe1f573e6fcfd74636ecedd5) демонстрировал значительное сходство с нагрузкой Turla, включая использование одного и того же компилятора (Microsoft Visual C/C++ 2013) и линкера (Microsoft Linker 12.0).

Однако дальнейшее изучение показало, что эти совпадения не являются уникальными. Как позже отметил эксперт @TheEnergyStory, обнаруженные фрагменты кода могли быть связаны с библиотекой Mbed TLS, обработанной через Visual Studio. Это поставило под сомнение первоначальную гипотезу о прямой связи ACIDBOX с Turla. Тем не менее, вопрос о происхождении и целях этого кластера остался открытым.

ACIDBOX привлек внимание не только из-за возможных связей с известными группами, но и из-за своей сложной структуры. Как и в случае с Turla, вредоносная нагрузка (в данном случае oxygen.dll) предназначена для рефлексивного внедрения в целевые процессы после дешифрования. Это указывает на высокий уровень профессионализма злоумышленников и их стремление избегать обнаружения.

Несмотря на то, что связь с Turla не подтвердилась, ACIDBOX остается интересным объектом для изучения. Исследователи продолжают анализировать его поведение, пытаясь определить, является ли он частью кампании новой группы или же модификацией инструментов уже известных акторов. В любом случае, этот инцидент в очередной раз подчеркивает важность постоянного мониторинга угроз и тщательного анализа кода, даже если первоначальные догадки оказываются ошибочными.

Ситуация с ACIDBOX также демонстрирует, насколько сложной может быть атрибуция кибератак. Пересечение методов, инструментов и даже фрагментов кода между разными группами затрудняет точное определение источника угрозы. Это требует от специалистов по безопасности не только глубоких технических знаний, но и умения критически оценивать данные, избегая поспешных выводов.

Пока исследователи продолжают изучать ACIDBOX, можно ожидать новых публикаций и обсуждений в профессиональном сообществе. Возможно, дальнейший анализ позволит выявить дополнительные детали, которые помогут пролить свет на происхождение этого кластера и его возможные связи с другими киберпреступными группировками. А пока этот случай остается напоминанием о том, что в мире кибербезопасности даже самые незначительные детали могут оказаться ключом к разгадке крупных операций.

SHA256

• cefc5cf4d46abb86fb0f7c81549777cf1a2a5bfbe1ce9e7d08128ab8bfc978f8
• eb30a1822bd6f503f8151cb04bfd315a62fa67dbfe1f573e6fcfd74636ecedd5