Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группа Turla Team использует закрытые домены 2013 года для атак на жертвы старого ботнета (http://txgate.io:443/showthread.php?t=10837)

Artifact 02-01-2025 03:53 AM

Используя забытую инфраструктуру, хакеры устанавливают шпионское ПО на заражённые устройства в Украине.
https://www.securitylab.ru/upload/ib...h0pi9117no.jpg
Исследователи кибербезопасности Mandiant обнаружили , что группировка Turla Team использует инфраструктуру вредоносной программы Andromeda десятилетней давности для распространения своих шпионских инструментов среди целей в Украине.
По словам аналитиков, APT-группа Turla Team (также известная как UNC4210) взяла под свой контроль 3 домена, которые были частью ныне несуществующей инфраструктуры управления и контроля (C&C) сети ботнетов Andromeda (Gamarue), чтобы повторно подключиться к скомпрометированным системам. Конечная цель заключалась в распространении среди жертв Andromeda разведывательной утилиты KOPILUWAK и бэкдора QUIETCANARY (Tunnus).
Andromeda состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн. компьютеров ежемесячно. В рамках правоохранительной операции в 2017 году было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре.
Andromeda продолжает распространяться с заражённых USB-устройств, поэтому перерегистрированные домены всё ещё представляют опасность, и злоумышленники могут взять их под контроль, чтобы доставить новые вредоносные программы жертвам. Скорей всего, Turla Team скомпрометируют системы, а затем продадут доступ к ним на подпольных форумах.
В ходе обнаруженного инцидента сотрудник неназванной украинской организации вставил зараженный USB-накопитель в рабочий компьютер в декабре 2021 года и нажал на вредоносный LNK-файл, маскирующийся под папку на USB-накопителе. Это привело к развертыванию Andromeda на хосте.
Примечательно, что, если пользователь вставляет «чистый» USB-накопитель в уже зараженную систему, этот новый USB-накопитель может заразиться и продолжить распространение Andromeda.
Злоумышленники пытались скрытно профилировать системы, чтобы определить наиболее интересные цели, которые затем атаковали. Mandiant наблюдала активность серверов Turla Team только в течение коротких периодов времени, обычно несколько дней, с неделями простоя.


All times are GMT. The time now is 07:04 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.