В арсенале группировки Turla появилось новое вредоносное ПО

Специалисты «Лаборатории Касперского» обнаружили новый JavaScript-вредонос, связанный с деятельностью специализирующейся на кибершпионаже группировки Turla, также известной как Waterbug, Venomous Bear и KRYPTON. По всей видимости, злоумышленники используют вредоносное ПО, получившее наименование KopiLuwak, для сбора данных о жертве.

Turla активна по меньшей мере с 2007 года. Основной интерес для группировки представляют правительственные организации и частные компании. Арсенал злоумышленников включает разнообразные хакерские инструменты, в том числе руткиты Snake и Uroburos, Epic Turla (Wipbot и Tavdig) и Gloog Turla. В июне 2016 года группировка начала использовать JavaScript-вредонос Icedcoffee, а сейчас Turla взяла на вооружение вредоносное ПО KopiLuwak.

По данным ЛК, KopiLuwak использовался в атаках на организации в Катаре, Греции и Румынии. Вредонос распространялся в электронных сообщениях, замаскированных под официальное письмо посольства Катара на Кипре министру иностранных дел Кипра. Отправителем письма является якобы секретарь посла Катара, что позволяет предположить о взломе компьютерной сети дипмиссии.

Оказавшись на системе, вредонос выполняет ряд команд, направленных на сбор данных. Похищенная информация временно сохраняется в файле, который удаляется после того, как данные будут зашифрованы и сохранены в памяти. Управление KopiLuwak осуществляется через несколько скомпрометированных сайтов, список которых встроен в тело трояна. Как пояснили исследователи, вредонос обладает простым, но гибким функционалом, позволяющим выполнять как стандартные, так и произвольные команды через Wscript.