ESET обнаружила новый бэкдор АРТ-группы Turla

Александр Панасенко 31 Августа 2017 - 13:58

...

ESET обнаружила новый бэкдор АРТ-группы Turla

ESET представил анализ нового, ранее неизвестного бэкдора Gazer, который используется в атаках на правительственные и дипломатические учреждения Европы и бывших союзных республик. Вредоносная программа разработана АРТ-группой Turla и предназначена для хищения данных.

Кибергруппа Turla на протяжении многих лет проводит операции кибершпионажа. Жертвами хакеров становились крупные организации из Европы и США, в 2016 году хакеры провели атаку на швейцарский оборонный холдинг RUAG. Характерные для Turla методы – атаки типа watering hole и целевой фишинг.

По данным телеметрии ESET, бэкдор Gazer установлен на компьютерах в ряде стран мира, но преимущественно в Европе. Техника, тактика и процедуры, используемые атакующими, соответствуют индикаторам, типичным для Turla – заражение системы бэкдором первого этапа (например, с помощью целевого фишинга), установка бэкдора второго этапа (Gazer) для кражи данных.

Как и другие сложные бэкдоры Turla, Gazer получает задачи в зашифрованном виде с удаленного командного сервера и выполняет их в зараженной системе или на других машинах сети. В каждом образце Gazer предусмотрены уникальные ключи для шифрования и расшифровки отправляемых и получаемых данных. Авторы Gazer используют собственную библиотеку для шифрования 3DES и RSA, вместо общедоступных.

Кроме того, авторы Gazer используют виртуальную файловую систему, чтобы избежать обнаружения бэкдора антивирусными продуктами и продолжать атаки.

«Авторы Gazer проделали большую работу, чтобы избежать его детектирования. Для этого, в частности, предназначено удаление файлов из скомпрометированной системы и изменение строк кода, – комментирует Жан-Йен Бутен, ведущий вирусный аналитик ESET. – Обнаружение нового бэкдора – новый шаг к решению проблемы кибершпионажа в современном цифровом мире».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Февраля 2025 - 09:53

Linux Эксплойты Уязвимости программ Общее

На GitHub выложили PoC для бреши в ядре Linux, позволяющей повысить права

Исследователи поделились техническими деталями опасной (7,5 балла по шкале CVSS) уязвимости под идентификатором CVE-2024-36972, затрагивающей ядро операционной системы Linux. Демонстрационный эксплойт (PoC) также доступен всем желающим.

В случае использования этой бреши в атаках злоумышленники смогут привести к сбою в работе ядра, повысить свои права в системе и выбраться за пределы контейнера.

Проблема нашлась в компоненте af_unix, который участвует в работе сокетов домена Unix и обеспечивает межпроцессное взаимодействие в пределах одного устройства.

В частности, уязвимость затрагивает функцию unix_gc(), отвечающую за сбор мусорных данных в сокетах. Баг приводит к так называемому «состоянию гонки» при отправке новых сообщений MSG_OOB и вызову queue_oob(), что выливается в апдейте unix_sk(sk)->oob_skb.

Такого рода параллельная операция может привести к повреждению памяти из-за двойного освобождения. Уязвимость присутствует в следующих версиях ядра: