Gå til hovedindhold

Epic Turla-angreb (slangen/Uroburos)

VIRUSDEFINITION

Virustype: Avanceret, vedvarende trussel (APT)

Hvad er Epic Turla?

Turla, også kendt som Slangen eller Uroburos, er en af de mest avancerede, igangværende cyberspionagekampagner. Kaspersky Labs seneste efterforskning af denne aktivitet afslører, at Epic er den indledende fase af offerinficeringsmekanismen Turla.

Målene for "Epic" tilhører følgende kategorier: statslige organer (indenrigsministeriet, handelsministeriet, udenrigsministeriet, efterretningstjenester), ambassader, militæret, forsknings- og uddannelsesinstitutioner og lægemiddelvirksomheder.

De fleste ofre er beliggende i Mellemøsten og Europa, men vi har observeret ofre i andre områder, herunder også i USA. I alt har Kaspersky Labs eksperter talt flere hundrede ofres IP-adresser fordelt på mere end 45 lande, hvoraf Frankrig topper listen.

Angrebene, der er opdaget i forbindelse med denne aktivitet, kan inddeles i flere forskellige kategorier alt efter den oprindelige inficeringsvektor, som benyttes til at kompromittere ofret:

  • Spear-phishing-e-mails med Adobe PDF-udnyttelsessoftware (CVE-2013-3346 og CVE-2013-5065)
  • Social manipulation til at narre brugeren til at køre malwareinstallationsprogrammer med filtypenavnet ".SCR" og til tider pakket vha. RAR
  • Vandhulsangreb vha. Java-udnyttelsessoftware (CVE-2012-1723), Adobe Flash-udnyttelsessoftware (ukendt) eller Internet Explorer 6, 7, 8-udnyttelsessoftware (ukendt)
  • Vandhulsangreb, der bygger på social manipulation til at narre brugeren til at køre falske "Flash Player"-malwareinstallationsprogrammer

Detaljer omkring truslen

Hackerne benytter både direkte spear-phishing-e-mails og vandhulsangreb til at inficere ofre. Vandhuller er websteder, der hyppigt besøges af potentielle ofre. Disse websteder kompromitteres på forhånd af hackerne, og de inficeres, så de udgør en ondsindet kode. Afhængig af den besøgendes IP-adresse (f.eks. en offentlig organisations IP-adresse) benytter hackerne Java- eller browserudnyttelsessoftware, certificeret, falsk Adobe Flash Player-software eller en falsk version af Microsoft Security Essentials.

Samlet set har vi registreret mere end 100 inficerede websteder. Valget af websteder afspejler hackernes særlige interesse. Mange af de inficerede spanske websteder tilhører for eksempel lokale regeringer.

Når brugeren er inficeret, opretter Epic-bagdøren straks forbindelse til command-and-control-serveren (C&C) og sender en pakke med ofrets systemoplysninger. Bagdøren er også kendt som "WorldCupSec", "TadjMakhal", "Wipbot" eller "Tadvig".

Når et system er kompromitteret,modtager hackerne en kortfattet oversigt over ofrets oplysninger, og baseret på denne udsender de forudkonfigurerede batchfiler med en række kommandoer, der skal udføres. Derudover overfører hackerne brugerdefinerede sidebevægelsesværktøjer. Disse omfatter et særligt keylogger-værktøj, et RAR-pakkeprogram og standardprogrammer som f.eks. et DNS-forespørgselsværktøj fra Microsoft.

Hvordan ved jeg, om jeg er inficeret af Epic Turla

Den bedste måde at afgøre, om du har været offer for Epic Turla, er at undersøge, om der har været en indtrængen. En identifikation af faren kan foretages med et stærkt antivirusprodukt som Kaspersky Labs løsninger.

Kaspersky Labs produkter detekterer følgende moduler af Epic Turla:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

Hvordan kan jeg beskytte mig mod Epic Turla

  • Hold styresystemet og alle tredjepartsprogrammer, bl.a. Java, Microsoft Office og Adobe Reader, opdateret
  • Installér ikke software fra ukendte kilder, for eksempel når du bliver bedt om det af en tilfældig side
  • Vær på vagt over for e-mails fra ukendte kilder med mistænkelige vedhæftede filer eller links

En sikkerhedsløsning bør være aktiveret hele tiden, og alle dens komponenter skal være aktive. Løsningens databaser skal også være opdateret

Andre artikler og links relateret til malwaretrusler

Epic Turla-angreb (slangen/Uroburos)

Turla, også kendt som Slangen eller Uroburos, er en af de mest avancerede, igangværende cyberspionagekampagner. Kaspersky Labs seneste efterforskning af denne aktivitet afslører, at Epic er den indledende fase af offerinficeringsmekanismen Turla. Målene for "Epic" tilhører følgende kategorier: statslige organer (indenrigsministeriet, handelsministeriet, udenrigsministeriet, efterretningstjenester), ambassader, militæret, forsknings- og uddannelsesinstitutioner og lægemiddelvirksomheder.
Kaspersky logo

Relaterede artikler