США рассказали о вредоносном ПО группировок Turla и Fancy Bear

[Artifact]

В ходе атак российских преступных группировок использовались вредоносные программы ComRAT и Zebrocy.

Киберкомандование США рассказало об имплантатах вредоносных программ, используемых хакерскими группами в ходе атак на различные министерства иностранных дел, национальные парламенты и посольства. Образцы вредоносных программ были идентифицированы подразделением Cyber National Mission Force (CNMF), входящим в состав Кибернетического командования США, совместно с Агентством кибербезопасности и безопасности инфраструктуры (CISA) и https://twitter.com/US_CYBERCOM/stat...73078599798784на платформу Virus Total.
CISA также опубликовало два совместных с ФБР и CNMF предупреждения, в которых подробно рассказывается о вредоносных программах https://us-cert.cisa.gov/ncas/analys...orts/ar20-303aи https://us-cert.cisa.gov/ncas/analys...orts/ar20-303b. Вредоносы использовались российскими хакерскими группировками Turla и Fancy Bear в атаках.
Киберпреступная группировка Turla (также известная как Ouroboros, Snake, Venomous Bear or Waterbug) использовала бэкдор ComRAT в атаках на «министерства иностранных дел и национальные парламенты в целях кибершпионажа, кражи данных и установки вредоносного ПО».
Использование бэкдора Zebrocy также было замечено во время атак на посольства и министерства иностранных дел в Восточной Европе и Центральной Азии. Zebrocy позволяет удаленному оператору выполнять различные функции на скомпрометированной системе. Хотя в сообщении CISA не упоминается источник угрозы, стоящий за этой серией атак, специалисты связывают бэкдор Zebrocy с группировкой APT 28 (также известной как Sofacy, Fancy Bear, Sednit, STRONTIUM).
PowerShell-скрипт декодирует и загружает 64-разрядную DLL-библиотеку, идентифицированную как ComRAT. Новый вариант ComRAT содержит встроенные 32-разрядные и 64-разрядные используемые DLL-библиотеки в качестве коммуникационных модулей. Коммуникационный модуль внедряется в браузер системы жертвы по умолчанию. Файл ComRATv4 и модуль связи взаимодействуют друг с другом с помощью именованного канала. Именованный канал используется для отправки HTTP-запросов и получения HTTP-ответов к модулю связи и от него для команд бэкдора. Он предназначен для использования web-интерфейса Gmail для получения команд и хищения данных. Файл ComRAT v4 содержит виртуальную файловую систему (VFS) в формате FAT16, которая включает файлы конфигурации и журналов.