Группа Turla Team использует закрытые домены 2013 года для атак на жертвы старого ботнета

Исследователи кибербезопасности Mandiant обнаружили , что группировка Turla Team использует инфраструктуру вредоносной программы Andromeda десятилетней давности для распространения своих шпионских инструментов среди целей в Украине.

По словам аналитиков, APT-группа Turla Team (также известная как UNC4210) взяла под свой контроль 3 домена, которые были частью ныне несуществующей инфраструктуры управления и контроля (C&C) сети ботнетов Andromeda (Gamarue), чтобы повторно подключиться к скомпрометированным системам. Конечная цель заключалась в распространении среди жертв Andromeda разведывательной утилиты KOPILUWAK и бэкдора QUIETCANARY (Tunnus).

Andromeda состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн. компьютеров ежемесячно. В рамках правоохранительной операции в 2017 году было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре.

Andromeda продолжает распространяться с заражённых USB-устройств, поэтому перерегистрированные домены всё ещё представляют опасность, и злоумышленники могут взять их под контроль, чтобы доставить новые вредоносные программы жертвам. Скорей всего, Turla Team скомпрометируют системы, а затем продадут доступ к ним на подпольных форумах.

В ходе обнаруженного инцидента сотрудник неназванной украинской организации вставил зараженный USB-накопитель в рабочий компьютер в декабре 2021 года и нажал на вредоносный LNK-файл, маскирующийся под папку на USB-накопителе. Это привело к развертыванию Andromeda на хосте.

Примечательно, что, если пользователь вставляет «чистый» USB-накопитель в уже зараженную систему, этот новый USB-накопитель может заразиться и продолжить распространение Andromeda.

Злоумышленники пытались скрытно профилировать системы, чтобы определить наиболее интересные цели, которые затем атаковали. Mandiant наблюдала активность серверов Turla Team только в течение коротких периодов времени, обычно несколько дней, с неделями простоя.