eur:
405.61
usd:
383.74
bux:
77744.34
2024. november 15. péntek Albert, Lipót

Rászálltak a kelet-európai diplomatákra

A hírhedt Turla csoport kelet-európai diplomatákat, politikai szervezeteket támad, ezúttal a korábbinál trükkösebb hamis Adobe Flash-telepítőket alkalmazva.

Az új vírus egy, az Adobe weboldaláról származó hamis szoftvernek álcázza magát, és így próbálja rávenni az áldozatokat a kártevő telepítésére, amelynek célja a személyes adatok megszerzése - közölte felfedezését az ESET.

A Turla csoport korábban már használt hamis telepítőket a kártevői célba juttatásához, azonban ez az első eset, amikor a rosszindulatú program egy hivatalos Adobe URL-ről és IP-címről töltődik le. Az ESET szakemberei bíznak abban, hogy a Turla kártevői nem fertőztek meg egyetlen hivatalos Flash Player-frissítést sem, illetve nem kapcsolódnak semmilyen Adobe-termék ismert sebezhetőségéhez.

„A Turla üzemeltetői számtalan trükkös módszert találtak arra, hogy rávegyék a gyanútlan felhasználókat egy látszólag hivatalos program letöltésére, és elég okosak ahhoz, hogy elrejtsék a rosszindulatú hálózati forgalmukat” - mondta Jean-Ian Boutin, az ESET kártevőkutatója.

„Még a legtapasztaltabb felhasználók is becsaphatók, hogy letöltsenek egy kártevőt, amely látszólag az Adobe.com oldalról érkezik, mivel az URL és az IP-cím az Adobe hivatalos infrastruktúráját utánozza. Minden általunk vizsgált letöltés http-n keresztül történt, így azt javasoljuk a szervezeteknek, hogy

tiltsák le a titkosítatlan kapcsolaton keresztül érkező futtatható fájlok letöltését.

Ez jelentősen csökkenti a Turla támadásainak hatékonyságát, mivel sokkal nehezebb beékelődni vagy módosítani egy titkosított HTTPS kapcsolatot. Ezen kívül a fájlok digitális aláírásának ellenőrzése igazolhatja a sejtelmeket egy gyanús esemény során, mert ezek a fájlok nem rendelkeznek aláírással, az Adobe telepítői viszont igen. Ezek a lépések segítenek elkerülni a Turla csoport legújabb támadásait.”

Adobe Flash-visszaélések

A Turla csoport tevékenységét évek óta figyelő szakemberei megállapították, hogy az új kártevőt egy hivatalos Flash Player mellé sikerült betenniük a bűnözőknek, amely látszólag az adobe.com oldalról érkező programnak tűnik. A végpont szempontjából a távoli IP-cím az Akamaihoz, az Adobe által a Flash telepítő terjesztéséhez használt hivatalos Content Delivery Network (CDN) hálózathoz tartozik.

Az ESET szakemberei azonban észrevették, hogy a hamis Flash telepítők egy GET kérést hajtottak végre, amelynek célja a személyes információk kinyerése a fertőzött rendszerekből. Az ESET telemetria szerint a Turla telepítők legalább 2016 júliusa óta szivárogtatják az adatokat a get.adobe.com URL-ek segítségével. A hivatalos domainek használata igen nehézzé teszi a hálózati forgalom felderítését a vállalatok számára, és ez egyben jól mutatja azt is, hogy a Turla csoport mennyire rejtve szeretne maradni.

A Turla jelenlétére utaló nyomok

Az ESET szakemberei biztosak abban, hogy ezek a támadások elsősorban a volt szovjet utódállamok területét támadó Turla csoporthoz köthetők. A hamis Flash telepítők egy Mosquito elnevezésű backdoor programot tartalmaznak, amelyet korábban egy Turla-csoporthoz köthető kártevőként azonosítottak. Ezen kívül néhány vezérlőszerver (C&C) a SATCOM IP-címeket használó backdoor programokhoz kapcsolható, amelyek szintén a Turla csoporthoz kötődnek. Az ESET termékei a kártevő főkomponensét "Win32/Turla.XX" néven képesek detektálni, és a fertőzést blokkolni.

Címlapról ajánljuk

Orbán Viktor péntek reggel: a mi költségvetésünk egy nyílt lázadás

Terjedelmes interjút adott péntek reggel a Kossuth rádiónak a miniszterelnök. Szólt a 2025-ös "békeköltségvetés" megalapozásáról, amely már az ukrajnai háború lezárását feltételezi, elmondta, mely összetevő áll hozzá érzelmileg a legközelebb. Amerika nélkül az EU szerinte nem "folytathatja" tovább az ukrajnai háborút. Az unós versenyképesség ügyében szükséges fordulatra pedig "nincs idő".
VIDEÓ
inforadio
ARÉNA
2024.11.15. péntek, 18:00
Hegedűs Éva
a Gránit Bank elnök-vezérigazgatója
EZT OLVASTA MÁR?
×
×
×
×
×