Η hacking συμμορία Turla εκμεταλλεύεται αρχεία LNK για να μπορεί να μεταφέρει κακόβουλο λογισμικό (malware) χωρίς να ανιχνεύεται.
Αυτά τα αρχεία είναι συντομεύσεις που, όταν ανοίγουν, εκκινούν ένα κακόβουλο ωφέλιμο φορτίο, όπως scripts ή εκτελέσιμα αρχεία. Τα αρχεία LNK χρησιμοποιούνται ευρέως σε Windows και μπορούν εύκολα να θεωρηθούν ως γνήσια, καθιστώντας δύσκολο για τους χρήστες να υποψιαστούν τις κακόβουλες προθέσεις τους.
Δείτε επίσης: APT40: Αναπτύσσει ταχέως το κακόβουλο Rapid Exploit
Ερευνητές κυβερνοασφάλειας της GDataSoftware ανακάλυψαν πρόσφατα ότι οι χάκερς της συμμορίας Turla αξιοποιούν ενεργά τα αρχεία LNK για να εγκαταστήσουν κακόβουλο λογισμικό χωρίς την χρήση αρχείων.
Η συμμορία Turla χρησιμοποιεί αρχεία LNK
Η συμμορία Turla έχει στοχοποιήσει εταιρείες και οργανισμούς στις Φιλιππίνες, χρησιμοποιώντας έναν παραβιασμένο ιστότοπο πολυμέσων για τη διανομή κακόβουλου λογισμικού.
Η τακτική των χάκερς ξεκινά με μια κακόβουλη συντόμευση που προσποιείται ότι είναι επίσημη συμβουλή από τη Στατιστική Αρχή των Φιλιππίνων.
Όταν εκτελείται, ενεργοποιεί ένα σενάριο PowerShell που χρησιμοποιεί το msbuild.exe της Microsoft για να ξεκινήσει ένα backdoor χωρίς αρχεία, παρακάμπτοντας τη λίστα επιτρεπόμενων εφαρμογών.
Αυτό το κακόβουλο λογισμικό είναι προγραμματισμένο να εκτελείται κάθε 30 λεπτά μέσω προγραμματισμένων εργασιών. Για να αποφύγει την ανίχνευση και να δυσκολέψει την αναίρεσή του, το ωφέλιμο φορτίο του είναι ένα δυαδικό αρχείο MSIL προστατευμένο με το SmartAssembly.
Διαβάστε ακόμη: GootLoader malware: Επιστρέφει με νέα ισχυρή έκδοση
Είναι ενδιαφέρον ότι αυτό το περιστατικό συγκεντρώνει την προσοχή στην πόλη Siem Reap της Καμπότζης, όπως και την ετήσια συρροή τουριστών στο Angkor Wat – κοινωνική μηχανική (social engineering), κακόβουλο λογισμικό χωρίς αρχεία και νόμιμα εργαλεία συστήματος χρησιμοποιούνται όλα σε μία επίθεση. Αυτό το εξελιγμένο backdoor έχει εφαρμόσει διάφορες τεχνικές για να αποφύγει τον εντοπισμό του. Απενεργοποιεί το ETW, διορθώνει τα αντίγραφα της στη μνήμη και αποφεύγει το AMSI.
Το κακόβουλο λογισμικό συνδέεται με τον C2 server μέσω ενός μολυσμένου ιστότοπου. Αρχικά, ελέγχει μια διαδικασία μέσω μιας συγκεκριμένης διεύθυνσης URL και στη συνέχεια λαμβάνει εντολές από μια άλλη διεύθυνση URL.
Αυτό επιτρέπει στους χάκερς να διατηρούν τον έλεγχο χωρίς να γίνονται αντιληπτοί από τις άμυνες, αναδεικνύοντας την προηγμένη φύση αυτής της απειλής.
Η ανάλυση αυτού του κακόβουλου λογισμικού αποκαλύπτει κοινά χαρακτηριστικά με τις τεχνικές της συμμορίας Turla APT. Αυτά περιλαμβάνουν τη χρήση μολυσμένων ιστότοπων ως servers, την παράκαμψη του AMSI μέσω επιδιόρθωσης μνήμης, την εκτέλεση αρχείων μέσω PowerShell χωρίς να αποθηκεύονται στον σκληρό δίσκο, και την εκτέλεση scripts που ελέγχονται από απομακρυσμένο server.
Επιπλέον, εισάγονται νέες τεχνικές που δεν είχαν προηγουμένως συσχετιστεί με τη συμμορία Turla, υποδηλώνοντας είτε πιθανές αλλαγές στην τακτική της ομάδας είτε την εμφάνιση ενός νέου παράγοντα που χρησιμοποιεί παρόμοιες μεθόδους.
Δείτε περισσότερα: Ανίχνευση και ανάλυση κακόβουλων scripts
Ένας συνδυασμός γνωστών και άγνωστων τεχνασμάτων υποδηλώνει προηγμένες απειλές που συχνά προσαρμόζουν τις στρατηγικές τους. Αυτό καθιστά την ταυτοποίηση των χάκερς ιδιαίτερα δύσκολη για τους ερευνητές της κυβερνοασφάλειας.
Πηγή: gbhackers