TTL OSINT

25.09.2024 267 1 мин.

Анализ новейшего бэкдора Turla с помощью гибридного анализа

В статье обсуждается новый бэкдор без файлов, используемый APT-группой Turla, также известной как Venomous Bear. Бэкдор распространяется через PDF-файл, который при запуске создает мьютекс, сопоставляет новые библиотеки DLL для обхода перехватов и устанавливает ключ AES-128 для будущей связи с C2. Бэкдор реализует пользовательские команды для выполнения вредоносных сценариев PowerShell и создания файлов. Анализ бэкдора выявляет его функциональные возможности, включая расшифровку требуемых параметров и создание уникального идентификатора для зараженной машины. Связь между жертвой и C2 шифруется с использованием AES, что затрудняет обнаружение и анализ атаки автоматизированными решениями по кибербезопасности и командами SecOps.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://hybrid-analysis.blogspot.com/2024/09/analyzing-newest-turla-backdoor-through.html

Выборочные показатели Compromise:

• https://files.philbendeck.com
• 8d6fe8e336e020410753ff15ece5f36bae992f7f234385a23590a11ed734792d
• cac4d4364d20fa343bf681f6544b31995a57d8f69ee606c4675db60be5ae8775
• b6abbeab6e000036c6cdffc57c096d796397263e280ea264eba73ac5bab39441
• 7091ce97fb5906680c1b09558bafdf9681a81f5f524677b90fd0f7fc0a05bc00

Источник: TTL OSINT