Аналитики компании Mandiant сообщили, что русскоязычная кибершпионская группа Turla захватила управляющие серверы старого ботнета Andromeda, закрытого властями и ИБ-специалистами еще в 2017 году. C&C-серверы Andromeda, похоже, использовались Turla для тщательного изучения скомпрометированных хостов, чтобы найти среди них подходящие для разведывательных и шпионских операций.
Компания Mandiant, принадлежащая Google, отслеживает эту операцию Turla как кластер угроз UNC4210. Исследователи пишут, что захваченные хакерами серверы соответствуют образцам малвари Andromeda (также известной как Gamarue и Wauchos), которые были загружены на VirusTotal еще в 2013 году.
Исследователи объясняют, что участники Turla дождались истечения срока регистрации ряда доменов и захватили часть старой инфраструктуры ботнета, ликвидированного еще в 2017 году. Напомню, что тогда ботнет закрывали буквально всем миром. В совместной операции приняли участие ФБР, Интерпол, киберподразделение Европола (EC3), Евроюст, Объединенная целевая группа по борьбе с киберпреступностью (J-CAT), а также правоохранительные органы Германии. Частный сектор, в свою очередь, представляли специалисты компаний Microsoft, ESET, Registrar of Last Resort, а также ICANN, FKIE, BSI и многие другие.
Таким образом, Mandiant полагает, что Turla использует старые заражения Andromeda в качестве механизма для распространения собственных вредоносов, а также может воспользоваться тем фактом, что Andromeda могла распространяться через зараженные USB-накопители.
К примеру, в одном инциденте, проанализированном аналитиками Mandiant, зараженный USB-накопитель был использован на машине неназванной украинской организации в декабре 2021 года. Это привело к развертыванию устаревшей версии Andromeda на хосте при запуске файла вредоносной ссылки (.LNK), маскировавшейся под папку на USB-накопителе.
Так как злоумышленники использовали один из захваченных в январе 2022 года доменов (которые раньше являлись частью инфраструктуры ботента) для профилирования жертв, управляющий сервер передал на эту зараженную машину дроппер KOPILUWAK, JavaScript-утилиту для проведения сетевой разведки.
Двумя днями позже, 8 сентября 2022 года, атака перешла в заключительную фазу с внедрением малвари QUIETCANARY (также известной под названием Tunnus), что в итоге привело к хищению файлов из системы жертвы.
Компания Mandiant, принадлежащая Google, отслеживает эту операцию Turla как кластер угроз UNC4210. Исследователи пишут, что захваченные хакерами серверы соответствуют образцам малвари Andromeda (также известной как Gamarue и Wauchos), которые были загружены на VirusTotal еще в 2013 году.
Исследователи объясняют, что участники Turla дождались истечения срока регистрации ряда доменов и захватили часть старой инфраструктуры ботнета, ликвидированного еще в 2017 году. Напомню, что тогда ботнет закрывали буквально всем миром. В совместной операции приняли участие ФБР, Интерпол, киберподразделение Европола (EC3), Евроюст, Объединенная целевая группа по борьбе с киберпреступностью (J-CAT), а также правоохранительные органы Германии. Частный сектор, в свою очередь, представляли специалисты компаний Microsoft, ESET, Registrar of Last Resort, а также ICANN, FKIE, BSI и многие другие.
Таким образом, Mandiant полагает, что Turla использует старые заражения Andromeda в качестве механизма для распространения собственных вредоносов, а также может воспользоваться тем фактом, что Andromeda могла распространяться через зараженные USB-накопители.
К примеру, в одном инциденте, проанализированном аналитиками Mandiant, зараженный USB-накопитель был использован на машине неназванной украинской организации в декабре 2021 года. Это привело к развертыванию устаревшей версии Andromeda на хосте при запуске файла вредоносной ссылки (.LNK), маскировавшейся под папку на USB-накопителе.
Так как злоумышленники использовали один из захваченных в январе 2022 года доменов (которые раньше являлись частью инфраструктуры ботента) для профилирования жертв, управляющий сервер передал на эту зараженную машину дроппер KOPILUWAK, JavaScript-утилиту для проведения сетевой разведки.
Двумя днями позже, 8 сентября 2022 года, атака перешла в заключительную фазу с внедрением малвари QUIETCANARY (также известной под названием Tunnus), что в итоге привело к хищению файлов из системы жертвы.
