Російські кіберзлочинці використовують іноземний ботнет для атак на Україну — Microsoft

Російська кіберзлочинна група Turla, також відома як «Secret Blizzard», використовує інфраструктуру хакерів з Пакистану для атак на пристрої українських військових, які підключені через Starlink. Про це йдеться у нещодавно опублікованому звіті Microsoft, повідомляє Bleeping Computer. 

В останній кампанії Turla використовувала програмне забезпечення та сервери пакистанської кіберзлочинної групи Storm-0156 для запуску ботнету Amadey та розгортання шкідливих програм Tavdig і KazuarV2, націлених на пристрої українських військових, які підключені до систем супутникового інтернету Starlink.

В Microsoft припускають, що Turla купила або отримала несанкціонований доступ до ботнету Amadey:

«Microsoft оцінює, що Secret Blizzard або використовувала зловмисне програмне забезпечення Amadey як послугу (MaaS), або таємно отримувала доступ до панелей керування Amadey, щоб завантажити дроппер PowerShell на цільові пристрої».

Дроппер PowerShell містив корисне навантаження Amadey у кодуванні Base64, до якого додавався код, який викликав запит до інфраструктури Secret Blizzard C2.

Атаки Turla в Україні проводились за допомогою фішингових електронних листів із шкідливими вкладеннями, бекдорами Storm-1837 або ботнетом Amadey, який застосовується для розгортання корисного навантаження на заражених пристроях.

Amadey — це ботнет зловмисного програмного забезпечення, який використовується для початкового доступу та доставки корисного навантаження з 2018 року.

Tavdig — це легкий модульний бекдор, призначений для встановлення початкової точки атаки, ведення спостереження та розгортання додаткових корисних навантажень. Він може збирати таку інформацію, як облікові дані користувача, мережеві конфігурації та встановлене програмне забезпечення, а також може виконувати зміни в реєстрі та створювати заплановані завдання.

KazuarV2 — це більш просунутий бекдор, призначений для тривалого збору розвідувальних даних, виконання команд і викрадання даних. Зазвичай він впроваджується в системні процеси, такі як «explorer.exe» або «opera.exe», щоб уникнути виявлення, а потім надсилає та отримує дані та команди від свого керівника.