Malver Carbon, backdoor druge faze napada ruske špijunske grupe Turla

Vesti, 04.04.2017, 00:00 AM

Ruska špijunska grupa Turla već godinama razvija različite alate, uključujući i nekoliko novih verzija Carbona, backdoor malvera druge faze napada.

Ovo tvrde istraživači iz kompanije ESET koji kažu da se malver još uvek razvija. S obzirom da je ova grupa poznata po tome da menja alate čim oni budu otkriveni, nije veliko iznenađenje to što se pojavljuje verzija za verzijom.

Grupa Turla obično deluje u nekoliko faza. Prva faza obično podrazumeva izviđanje sistema žrtve dok se tek od druge faze primenjuju sofisticirani alati, a među njima i Carbon.

Istraživači kažu da klasični lanac kompromitovanja malvera Carbon počinje kada korisnik dobije spear fišing email ili kad poseti kompromitovani sajt, najčešće onaj koji često posećuje. Ako napad uspe, backdoor se instalira.

Carbon je sofisticirani backdoor koji grupa Turla koristi za krađu osetljivih informacija od cilja koji je predmet interesovanja grupe. Carbon se sastoji od droppera koji instalira komponente i konfiguracionog fajla, komponente koja komunicira sa komandno-kontrolnim serverom, orkestratora koja izvršava zadatke i ubacuje ubacuje u legitimni proces DLL koji komunicira sa komandno-kontrolnim serverom, kao i loader koji pokreće orkastratora.

Carbon je donekle sličan jednom drugom alatu grupe Turla, rootkitu Uroburos. Carbon bi mogao biti "lite" verzija Uroburosa, bez kernel komonenata i exploita, kažu iz ESET-a.