Avec la nouvelle porte dérobée, attaque Turla ou la propagation dans le monde

2019-05-08 16:51:10

La société de sécurité réseau ESET a publié mardi le dernier rapport de recherche, une organisation soupçonnée de réseau d'espionnage russe appelé Turla APT a développé et été en utilisant la nouvelle porte dérobée --LightNeuron, « Ceci est le premier e-mail pour Microsoft Exchange serveur porte dérobée, « malware ESET chercheur représentation Matthieu Faou.

Turla-- une grande menace des pirates

Turla, également connu sous le nom de serpent, whitebear, Venomous Ours, Kypton, Waterbug et Ouroboros, est de loin l'un des tissus des menaces les plus avancées, et l'on croit appartenir au gouvernement russe (tous les membres de l'organisation, a déclaré russe). L'organisation d'attaquer de plus de 40 pays, gouvernement, militaire, ambassades, secteur de la recherche en éducation, l'industrie pharmaceutique et d'autres cibles.

Bien que l'organisation aurait été fondée au moins en 2007, mais a constaté qu'il était seulement jusqu'en 2014 Kaspersky Lab. Ceci est principalement parce que l'organisation a prouvé être en mesure d'utiliser les communications par satellite pour les failles de sécurité inhérentes à la position et le centre de contrôle pour cacher son serveur C & C.

Comme nous le savons tous, une fois que la position de l'exposition du serveur C & C, l'opérateur dans les coulisses sera très facile à trouver. Par conséquent, cette organisation a la capacité de Turla permet de cacher leur position très bien et la mise en uvre d'espionnage. Kaspersky Lab, une enquête menée en 2017 a montré que, par rapport à 2015, l'organisation a son Turla Satellite C & C a augmenté d'au moins dix fois le nombre enregistré.

attaques Turla parrainé par

Depuis 2007, les organisations Turla ont été actifs et créer beaucoup de grands événements qui affectent le moment. Par exemple, en 2008, accusé d'avoir attaqué le commandement central des États-Unis, quels événements Buckshot Yankee - à travers la dite U « agent.btz » logiciels malveillants téléchargés sur les réseaux militaires du Pentagone.

Dans un autre incident en 2016, il est un cyber-attaque massive sur les entreprises militaires suisses RUAG Group. Dans l'attaque dans ce domaine, Turla utilisé (une branche Turla famille de logiciels espions, connu comme « le plus complexe de l'histoire des logiciels espions APT ») spyware réseau Epic Turla, les chevaux de Troie et rootkits combinés logiciels malveillants.

En outre, l'organisation a attaqué trop Turla beaucoup plus que cela, y compris l'Ukraine, les gouvernements de l'UE et des ambassades, la recherche et les établissements d'enseignement ainsi que les entreprises pharmaceutiques, militaires.

Selon dire Kaspersky Lab, Turla ans utilisent principalement les outils d'attaque suivants:

  • IcedCoffeer et Kopi Luwak;
  • carbone;
  • moustiques;
  • Whitebear.

Utiliser un serveur e-mail d'attaque de porte dérobée LightNeuron

« Turla utilisé dans le passé appelé Neuron (aka DarkNeuron) les logiciels malveillants pour localiser le serveur de courrier électronique, mais il est pas spécifiquement conçu pour interagir avec Microsoft Exchange. D'autres organisations à l'aide de porte dérobée traditionnelle APT pour surveiller les activités du serveur de messagerie. Cependant, LightNeuron est le premier directement intégré dans Microsoft Exchange flux de travail, « la représentation Faou.

LightNeuron permet aux pirates de contrôler complètement le contenu de tous les serveurs de messagerie électronique sont infectés, capables d'intercepter, redirect ou modifier le contenu du courrier électronique entrant ou sortant, par conséquent, cet outil de porte dérobée développé par l'organisation Turla peut être considéré comme la plupart des produits similaires l'un des grands outils. ESET dans le rapport dit que depuis 2014, Turla LightNeuron a été utilisé pendant près de cinq ans, ce qui montre à nouveau les fonctionnalités avancées de l'outil, permet d'éviter la détection dans une si longue période.

En fait, la première mention du rapport LightNeuron a été libéré au cours du deuxième trimestre de 2018, tendance APT de Kaspersky Lab. Cependant, Kaspersky a été décrit simplement cet outil. Cette fois-ci, ESET a publié le rapport plus montrent clairement les caractéristiques uniques de l'outil, de sorte que tous les autres porte dérobée déployé sur les serveurs de courrier électronique à ce jour se démarquer.

Selon ESET a déclaré que cette attaque ont été trouvés infectés par les trois organisations LightNeuron la porte arrière Turla. Bien que le nom de l'entreprise de la victime ne figure pas, mais fournit une description générale:

  • Brésil organisation inconnue;
  • Europe de l'Est, Ministère des affaires étrangères;
  • Diplomatique au Moyen-Orient.

porte arrière unique LightNeuron

Selon les chercheurs disent, en plus d'être la première porte dérobée pour Microsoft Exchange Server, le LightNeuron se démarquer est ses mécanismes de commandement et de contrôle.

Une fois que le Microsoft Exchange Server a été infecté et modifier avec succès la porte arrière LightNeuron, un pirate ne se connecte pas directement. Au lieu de cela, ils recevront un e-mail avec un fichier PDF ou JPG pièce jointe. L'utilisation de la stéganographie, les pirates Turla peut cacher commande PDF et de l'image JPG, lisez la porte arrière, puis exécuté.

Selon la capacité ESET, LightNeuron à lire et à modifier les e-mail envoyé par le serveur Exchange, écrire et envoyer un nouvel e-mail, et empêcher les utilisateurs de recevoir certains e-mail, la fonction puissante appelée.

En outre, les organisations de victimes seront difficiles à détecter toute interaction entre Turla et la porte arrière de LightNeuron, principalement parce que ces commandes sont cachés dans le code PDF ou JPG, et a reçu un e-mail malveillant peut être déguisé comme spam commun, éviter attention.

Pour la porte du problème d'attribution LightNeuron arrière, les chercheurs d'ESET ont fait une explication. Dans le cas où ils ont étudié, ils ont trouvé que dans Turla pirates UTC + 3 (Moscou) en semaine de fuseau horaire envoyé au serveur sur lequel la porte arrière entre 9h00-18h00 commande. De Décembre 2018 à Janvier 201914, sans aucune activité, cette fois-ci se trouve être les grandes religions de la Russie - les chrétiens orthodoxes de Noël et du Nouvel An traditionnel.

Auteur: Gump, reproduit à partir de: http: //www.mottoin.com/detail/3949.html

Cahill: L'entraîneur n'a jamais expliqué pourquoi ne pas me jouer, sera reconnaissant de quitter Chelsea
Précédent
la technologie CSS pour le mouvement de la souris de la piste, il ne sera pas trouvée
Prochain
Une des pièces pillées par les pirates 7000 pièces de monnaie bits, une valeur d'environ 41 millions de dollars américains
services d'imagerie dans le cadre du nouveau modèle de croissance de la fission, « Vphoto » promouvoir la normalisation dans l'industrie grâce à la technologie cloud et matériel intelligente
Huit types de système de présentation sans fil vulnérabilités critiques
cigarette électronique au bureau: l'entrepreneur à la sortie pensent?
En Espagne le nouveau maquillage calme jersey saison: roulement Wu Lei extraordinaire
« World of Warcraft » joueurs de faire attention à elle! vers chanceuses utilisent étourdiment propagation de la carte Warcraft
vrai test - vous avez accroché des branches
À la violence par la violence, contre le phishing.
« St. bateaux » Obtenez le plomb sur, Deng Xiaofei faible performance dans une boule emplissait 6
Éviter l'authentification d'compte de domaine ne limite le nombre de verrouillage technique
De parler à mes images surs, parler au sein de la pénétration du réseau
Rappelez-vous un suivi des cas de traçabilité très drôles (rattraper connaissances)