[News] Turla wykorzystuje infrastrukturę cyberprzestępców do ataków

Zaczęty przez ZiBi, 11 Gru 2024, 21:54

« poprzedni - następny »
Drukuj
Do dołu Strony1
User actions

ZiBi

11 Gru 2024, 21:54
Microsoft ujawnił nową kampanię cyberszpiegowską grupy Secret Blizzard (znanej też jako Turla), wymierzoną w ukraińskie cele wojskowe. Według raportu, grupa wykorzystała złośliwe oprogramowanie Amadey do przeprowadzenia ataków między marcem a kwietniem 2024 roku.

Proces ataku obejmował kilka etapów. Najpierw wykorzystano program Amadey do pobrania narzędzia rozpoznawczego, które zbierało informacje o zainfekowanych systemach i sprawdzało obecność Microsoft Defender. W kolejnym kroku wdrożono backdoor Tavdig, który instalował zaktualizowaną wersję złośliwego oprogramowania Kazuar.

W ramach tej samej operacji grupa wykorzystała również backdoor PowerShell należący do innej rosyjskiej grupy hakerskiej - Flying Yeti (znanej też jako Storm-1837 i UAC-0149). Microsoft zauważył, że Secret Blizzard prawdopodobnie uzyskał dostęp do paneli kontrolnych Amadey lub wykorzystał tę usługę do dystrybucji złośliwego oprogramowania.

Szczególnie istotne jest to, że jest to nietypowa taktyka, ponieważ grupy sponsorowane przez państwa rzadko wykorzystują infrastrukturę innych podmiotów. Jak podkreśla Sherrod DeGrippo, dyrektor ds. strategii wywiadowczej w Microsoft, może to być skuteczna technika utrudniająca analizę i właściwą atrybucję ataków. Jest to już drugi udokumentowany przypadek od 2022 roku, gdy Secret Blizzard wykorzystuje przejętą infrastrukturę cyberprzestępczą do prowadzenia operacji wymierzonych w ukraińskie cele.

Źródło:
Kod [Zaznacz]
https://thehackernews.com/2024/12/secret-blizzard-deploys-kazuar-backdoor.html
Drukuj
Do góry Strony1
User actions