Некий загадочный вредонос фигурирует в целевых кибератаках и использует при этом эксплойт, который специалисты ассоциируют с операциями группировки Turla. Новую угрозу первыми заметили исследователи из Palo Alto Networks.
Обычно киберпреступная группа Turla в представлении западных экспертов в области безопасности связана с деятельностью ФСБ России. У группировки есть и другие имена: Waterbug, Venomous Bear и KRYPTON.
Turla была первой, кому удалось использовать драйвер стороннего устройства для отключения защитной функции Driver Signature Enforcement (DSE), представленной в Windows Vista. Напомним, что задача DSE — не допустить загрузки неподписанных драйверов.
Задействованную Turla уязвимость, получившую идентификатор CVE-2008-3431, начали связывать с APT-группой. Именно эта брешь в драйвере VirtualBox (VBoxDrv.sys v1.6.2) позволила злоумышленникам деактивировать DSE.
Теперь специалисты компании Palo Alto Networks сообщили об эксплуатации той же самой уязвимости в новых атаках. Однако на этот раз стоящие за кампанией операторы не связаны с Turla, подчеркнули исследователи.
В ходе новых операций киберпреступники атаковали две российские организации, которые, судя по всему, даже не подозревали о наличии непропатченной уязвимости в драйвере VBoxDrv.sys.
«Поскольку мы не нашли других жертв данной кампании, можно сделать вывод, что эта вредоносная программа весьма специфична — используется исключительно в целевых кибератаках», — объясняет команда Palo Alto Networks.
Специалисты присвоили ранее неисследованному семейству зловредов имя AcidBox. Это сложный софт, над которым явно трудились профессионалы. Есть также предположения, что AcidBox является лишь частью некоего большего набора инструментов для взлома.
Эксперты предполагают, что стоящая за AcidBox группа до сих пор активна, а это значит, что новый целевые атаки могут в любой момент возобновиться.
