Группировка Turla взломала сервер конкурентов из OilRig для загрузки собственных вредоносов

Группировка Turla взломала сервер конкурентов из OilRig для загрузки собственных вредоносов

За прошедшие 18 месяцев Turla атаковала 13 организаций в 10 различных странах мира.

Киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп.

Turla специализируется на кибершпионаже, список ее жертв включает различные организации - от военных и правительственных структур до компаний в сфере образования и научных исследований. OilRig (Crambus, APT34, HelixKitten), которую ИБ-эксперты связывают с иранским правительством, также занимается кибершпионажем и в основном атакует правительственные организации и предприятия в странах Ближнего Востока.

За прошедшие 18 месяцев специалисты Symantec зафиксировали три кампании, организованные Turla. В общей сложности группировка атаковала 13 организаций в 10 различных странах мира (министерства в Европе, странах Латинской Америки и Ближнего Востока, а также компании в сфере IT и образования). В ходе одной из таких кампаний группировка взломала инфраструктуру OilRig для компрометации компьютера в сети одной из целевых организаций. Что интересно, другие компьютеры в сети Turla атаковала, используя собственную инфраструктуру. Хотя исследователи допускают возможность сотрудничества между двумя группировками, им не удалось найти доказательства в поддержку данной теории.

Одним из свидетельств взлома может служить использование модифицированного варианта Mimikatz (инструмент для сбора учетных данных), ранее замеченного только в атаках Turla. Кроме того, утилита IntelliAdmin, используемая группировкой OilRig в своих операциях, загружалась на компьютер жертвы с помощью созданного Turla бэкдора.

По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть - OilRig.

Исследователи высказали несколько предположений о мотивах подобного поведения Turla. В частности, группировка могла использовать такой ход, чтобы запутать ИБ-экспертов, или просто воспользовалась возможностью с целью получить доступ к жертве.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!