A Turla APT az MSBuild-ot használja a fájl nélküli backdoor telepítéséhez

A Cyble Research and Intelligence Labs (CRIL) egy kifinomult kiberkampányt fedezett fel, amelyet valószínűleg a Turla APT csoport szervezett, és amely spam e-mailekben terjesztett rosszindulatú LNK-fájlokat tartalmazott. A támadók emberi jogi szemináriumi meghívókat használnak csaliként, hogy rávegyék a felhasználókat ezen LNK fájlok futtatására, amelyek aztán egy PowerShell szkriptet indítanak el egy fájl nélküli hátsó ajtó telepítéséhez. Ez a hátsó ajtó a Microsoft Build Engine (MSBuild) kihasználásával lehetővé teszi a veszélyeztetett rendszerek távoli irányítását a projektfájlok közvetlen memóriában történő futtatásához. A támadássorozat magában foglalja ideiglenes fájlok létrehozását, az adatok Rijndael algoritmus segítségével történő visszafejtését, és végül egy végső hasznos teher futtatását, amely kommunikál egy parancs- és vezérlő (C&C) szerverrel.

A CRIL ezt a kampányt a Turla APT-csoportnak tulajdonítja a kódhasonlóságok és az orosz nyelvű megjegyzések jelenléte miatt, ami összhangban van a korábbi Turla-műveletekkel. A csoport nem kormányzati szervezetekre való összpontosítása és az olyan törvényes alkalmazások, mint az MSBuild használata a hagyományos biztonsági intézkedések megkerülésére kiemeli fejlett képességeiket. Az ilyen fenyegetések elhárítása érdekében a szervezeteknek azt tanácsolják, hogy vezessenek be robusztus e-mail-szűrést, korlátozzák a fejlesztőeszközökhöz való hozzáférést, tiltsák le a szükségtelen szkriptnyelveket, és hozzanak létre hálózati szintű megfigyelést a gyanús tevékenységek gyors észlelése és az azokra való gyors reagálás érdekében. Ezek az intézkedések jelentősen fokozhatják a kifinomult APT-támadások elleni védelmet.

(forrás)