Jena, 12. März 2020 – ESET Forscher haben Cyberangriffe der Turla Gruppe auf hochkarätige Webseiten in Armenien analysiert. Kompromittiert wurden unter anderem Seiten der armenischen Regierung. Bei dieser speziellen Attacke setzten die Angreifer auf einen Social-Engineering-Trick mit einem gefälschten Adobe Flash-Update als Köder. Hierbei setzte die APT-Gruppe zwei bisher unbekannte Schadprogramme ein, wohl um einer frühzeitigen Entdeckung zu entgehen. ESET Forscher schätzen, dass diese Webseiten seit mindesten Anfang 2019 kompromittiert wurden. Ziele der Angriffe sind hochrangige Regierungsbeamte und Politiker.
„Wenn der Besucher der kompromittierten Webseiten für interessant gehalten wird, wird ihm ein gefälschtes Pop-up-Fenster für Adobe Flash-Updates angezeigt. Dieses soll ihn zum Herunterladen eines schädlichen Installationsprogramms verleiten“, erklärt ESET Forscher Matthieu Faou. Interessanterweise verwendet Turla in dieser jüngsten Kampagne eine völlig neue Backdoor-Malware mit dem Namen PyFlash. „Die endgültige Payload hat sich wohl geändert, um der Entdeckung zu entgehen“, erklärt Faou. Der C&C-Server sendet Befehle, die das Herunterladen von Dateien, die Ausführung von Windows-Befehlen und das Starten oder Deinstallieren von Malware umfassen.
Wer ist Turla?
Turla ist eine berüchtigte Cyberspionage-Gruppe, die seit mehr als 10 Jahren aktiv ist. Ihre Hauptziele sind Regierungs- und Militärorganisationen. Diese jüngste Operation weist Ähnlichkeiten mit der Vorgehensweise der Gruppe bei verschiedenen anderen Kampagnen in der Vergangenheit auf.
Die detaillierte Analyse und weitere Informationen zur Turla-Gruppe gibt es auf Welivesecurity: www.welivesecurity.com/deutsch/2020/03/12/turla-watering-hole-attack-armenien/