 |
ESET: хакеры Turla атакуют пользователей Microsoft Outlook
Специалисты ESET выполнили анализ бэкдора кибершпионской группы Turla, который использовался для кражи конфиденциальных данных госучреждений в странах Европы. Хакеры управляли программой через Microsoft Outlook, отправляя команды в PDF-файлах во вложении.
Вредоносная программа была установлена на нескольких компьютерах Федерального министерства иностранных дел Германии. Чтобы достичь этой цели, операторы Turla скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не проникли в МИД в марте 2017 года. Далее на протяжении 2017 года Outlook-бэкдор обеспечивал хакерам доступ к данным, включая почту сотрудников.
Операторы Turla используют для связи с бэкдором электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. Так они могут отправлять на зараженный компьютер целый ряд команд: выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы. Собранная информация также будет отправлена хакерам в PDF.
Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами. Фактически, вредоносная программа выполнит команды любого, кто сможет закодировать их в PDF-документе. В свою очередь, операторы Turla могут восстановить контроль, отправив бэкдору соответствующий запрос с любого адреса электронной почты.
Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах.
Кроме того, бэкдор дублирует своим операторам все исходящие письма жертвы. Почта уходит одновременно с отправкой настоящих писем, поэтому подозрительный трафик за пределами рабочего дня пользователя отсутствует.
Чтобы скрыть свою активность, бэкдор блокирует уведомления о входящих письмах от операторов. Отправленная хакерам почта также не отображается в почтовом ящике. Тем не менее, в момент поступления письма с командами жертва может видеть индикатор непрочтенного входящего сообщения в течение нескольких секунд.
Новейшие версии бэкдора нацелены на Microsoft Outlook, более старые позволяли также работать с почтовым клиентом The Bat!, популярным в Восточной Европе.
Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты – MAPI. Это существенная доработка в сравнении с прежними версиями бэкдора. По мнению специалистов ESET, Turla – единственная кибергруппа, которая использует в настоящее время подобные инструменты.
Кибергруппа Turla (Snake, Uroboros) получила известность в 2008 года после взлома защищенных объектов, включая сеть Центрального командования ВС США. В списке жертв – Министерство иностранных дел Финляндии (2013 г.), швейцарская оборонная корпорация RUAG (2014–2016 гг.), правительство Германии (конец 2017–начало 2018 гг.).
Более подробная информация об угрозе и индикаторы заражения – в блоге ESET на Хабрахабре.
Контактное лицо: Evgeniya Gromova (написать письмо автору)
Компания: ESET Russia (все новости этой организации)
Добавлен: 23:33, 28.08.2018
Количество просмотров: 574
Страна: Россия
| «1С‑Рарус» ускорил бюджетирование на Ижевском радиозаводе с 1С:Корпорация, 1С-Рарус, 23:24, 14.04.2026, Россия |
270 |
| Ижевский радиозавод и «1С-Рарус» завершили внедрение централизованной системы бюджетирования и финансового планирования. Система создана на базе комплекса решений «1С:Корпорация». Проект охватил 10 юрлиц предприятия с автоматизацией 500 рабочих мест. Внедрение на 10% ускорило ежегодный процесс бюджетирования. |
|
| Выручка GreenData за 2025 год превысила 1,8 млрд рублей, GreenData, 23:24, 14.04.2026, Россия |
199 |
| Компания GreenData, российский разработчик low-code-платформы, объявила финансовые результаты за 2025 год. Несмотря на возросшую налоговую нагрузку и сложность проектов, выручка компании увеличилась на 25%, а прибыль (EBITDA) выросла более чем в 5 раз. |
 |
| Minervasoft: Спрос на ИИ-базы знаний вырос втрое, Minervasoft, 23:24, 14.04.2026, Россия |
200 |
| По итогам 2025 года спрос на базы знаний с искусственным интеллектом увеличился в три раза. На динамику рынка повлияла синергия факторов: глобальный тренд на внедрение ИИ-ассистентов и острая потребность бизнеса в оптимизации работы линейного персонала. |
 |
| «Группа Астра» представила неизменяемый режим Astra Linux Server для растущего рынка контейнеризации, Группа Астра, 23:22, 14.04.2026, Россия |
190 |
| «Группа Астра», ведущий российский разработчик инфраструктурного ПО, представила неизменяемый (immutable) режим работы Astra Linux Server. Новый режим предназначен для запуска прикладного ПО в контейнерах с использованием Docker, Podman или Kubernetes. Он позволяет организовать инфраструктуру как код, снизить затраты на развертывание и обновление ОС, а также повысить удобство администрирования. |
|
| «Группа Астра» представила неизменяемый режим Astra Linux Server для растущего рынка контейнеризации, "Группа Астра", 23:13, 14.04.2026, Россия |
203 |
| «Группа Астра», ведущий российский разработчик инфраструктурного ПО, представила неизменяемый (immutable) режим работы Astra Linux Server. Новый режим предназначен для запуска прикладного ПО в контейнерах с использованием Docker, Podman или Kubernetes. Он позволяет организовать инфраструктуру как код, снизить затраты на развертывание и обновление ОС, а также повысить удобство администрирования. |
|
|
|
