Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos

turla

Technical Appendix with IOCs (eng)

Synthèse

Au cours des 10 derniers mois, les chercheurs de Kaspersky Lab ont analysé une opération de cyberespionnage de grande envergure qui a été baptisée « Epic Turla ». Les auteurs de l’attaque Epic Turla ont infecté plusieurs centaines d’ordinateurs dans plus de 45 pays. Ces ordinateurs se trouvaient notamment dans des institutions publiques, des ambassades, des institutions militaires, éducatives ou de recherche ainsi que dans sociétés pharmaceutiques.

On sait qu’ils ont utilisé au moins deux codes d’exploitation 0jour :

  • CVE-2013-5065 : vulnérabilité d’élévation des privilèges dans Windows XP et Windows 2003
  • CVE-2013-3346 : vulnérabilité d’exécution de code arbitraire dans Adobe Reader

Nous avons également observé l’utilisation, dans le cadre de ces attaques, de codes d’exploitation contre d’anciennes vulnérabilités (corrigées), d’ingénierie sociale et de stratégies du trou d’eau. La porte dérobée principale utilisée dans les attaques Epic est également connue sous le nom de « WorldCupSec », « TadjMakhal », « Wipbot » ou « Tavdig ».

A l’époque de la publication d’un article par G-Data sur Turla/Uroburos, plusieurs questions étaient restées sans réponses. Une des grandes inconnues à ce moment était le vecteur d’infection employé pour Turla (connu également sous le nom de Snake ou Uroburos). D’après nos analyses, les victimes sont infectées lors d’une attaque complexe à plusieurs niveaux, le premier d’entre eux étant Epic Turla. Au fur et à mesure que les attaquants prennent confiance, l’attaque est mise à niveau et inclut des portes dérobées plus avancées comme le système Carbon/Cobra. Parfois, les deux portes dérobées sont exécutées en tandem et s’entraident en cas de perte de la communication avec une des portes dérobées.

Une fois que les auteurs de l’attaque ont obtenu les informations d’identification nécessaires sans que la victime ne se rende compte de quoi que ce soit, ils déploient le rootkit ainsi que d’autres mécanismes de persistance extrême.

Les attaques étaient toujours en cours au mois de juillet 2014 et visaient principalement des utilisateurs en Europe et au Moyen-Orient.

Remarque : une analyse complète des attaques Epic est accessible aux abonnés de Kaspersky Intelligent Services. Contact : intelreports@kaspersky.com

Les attaques Epic Turla

Les attaques de cette campagne peuvent être classées dans différentes catégories en fonction du vecteur utilisé au début :

  • Messages électroniques de harponnage contenant des codes d’exploitation pour Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
  • Ingénierie sociale pour amener l’utilisateur à exécuter le programme d’installation du programme malveillant portant l’extension “.SCR” et parfois compacté à l’aide de RAR
  • Attaques selon la technique du trou d’eau reposant sur des codes d’exploitation Java(CVE-2012-1723), Flash (inconnu) ou Internet Explorer 6,7 et 8 (inconnu)
  • Attaques selon la technique du trou d’eau qui reposent sur l’ingénierie sociale pour amener l’utilisateur à exécuter de faux programmes d’installation de programme malveillant présentés comme des lecteurs Flash

Les attaquants infectent les ordinateurs de leur victime aussi bien à l’aide de messages de harponnage directs que de techniques du trou d’eau. En sécurité informatique, un trou d’eau est un site qui représente un intérêt pour les victimes et qui a été compromis par les attaquants afin de diffuser du code malveillant.

Jusqu’à présent, nous avons été incapables de mettre la main sur le moindre message électronique utilisé contre les victimes. Nous disposons par contre des pièces jointes et rien d’autres. Les pièces jointes PDF n’affichent aucun « appât » pour la victime lorsque celle-ci les ouvre. Les paquets SCR, quant à eux, montrent parfois un fichier PDF propre quand l’installation réussit.

turla

Voici quelques-unes des pièces utilisées dans le cadre des attaques de harponnage.

  • ؤتمر جنيف.rar (version arabe de « Geneva conference.rar »)
  • NATO position on Syria.scr
  • Note_№107-41D.pdf
  • Talking Points.scr
  • border_security_protocol.rar
  • Security protocol.scr
  • Program.scr

Dans certains cas, ces noms de fichier peuvent fournir des indices sur les victimes ciblées.

Les attaques via la technique du trou d’eau

Actuellement, les attaquants à l’origine d’Epic possèdent un vaste réseau de trous d’eau qui ciblent les visiteurs avec une précision chirurgicale.

Voici quelques-uns des sites compromis :

turla
Le site Internet de la mairie de Pinor en Espagne

turla
Un site de promotion de l’entrepreneuriat dans la zone frontalière de Roumanie

turla
Le ministère des Affaires étrangères de l’Autorité palestinienne

Au total, nous avons recensé plus de 100 sites compromis. C’est en Roumanie que se trouve actuellement le plus grand nombre de sites compromis.

Voici des statistiques sur les sites victimes d’une injection :

turla

Il va de soi que la répartition n’est pas le fruit du hasard et qu’elle répond aux intérêts des attaquants. Ainsi, bon nombre des sites infectés en Roumanie se trouvent dans la région de Mures, tandis qu’en Espagne, un nombre important de sites compromis appartient aux gouvernement.

La majorité des sites infectés utilise la solution de gestion de contenu TYPO3 CMS (cf. http://typo3.org/), ce qui laisserait penser que les attaquants profitent d’une vulnérabilité dans cette plate-forme de publication

Les sites Internet injectés chargent un JavaScript distant dans le navigateur de la victime :

turla

Le script « sitenavigatoin.js » est un script de détection de navigateur et de plug-in de style Pinlady qui renvoie la victime vers un script PHP appelé parfois main.php ou wreq.php. Parfois, les attaquants enregistrent l’extension .JPG avec le handler PHP sur le serveur et utilisent des fichiers « JPG » pour exécuter les scripts PHP :

turla
Script de profilage

Le principal script d’exploitation “wreq.php”, “main.php” ou “main.jpg” réalise plusieurs tâches. Nous avons identifié plusieurs versions de ce script qui tente de mettre en œuvre divers mécanismes d’exploitation.

Une des versions tente d’exploiter une vulnérabilité dans Internet Explorer 6, 7 et 8 :

turla
Script d’exploitation pour Internet Explorer

Malheureusement, les codes d’exploitation pour Internet Explorer n’ont pas encore été récupérés.

Une autre version, plus récente, tente d’exploiter des vulnérabilités dans Oracle Sun Java et Adobe Flash Player :

turla
Scripts d’exploitation pour Java et Flash Player

Bien que nous n’avons pas été en mesure de récupérer les codes d’exploitation pour Flash Player, nous avons par contre réussi à récupérer ceux pour Java :

Nom MD5
allj.html 536eca0defc14eff0a38b64c74e03c79
allj.jar f41077c4734ef27dec41c89223136cf8
allj64.html 15060a4b998d8e288589d31ccd230f86
allj64.jar e481f5ea90d684e5986e70e6338539b4
lstj.jar 21cbc17b28126b88b954b3b123958b46
lstj.html acae4a875cd160c015adfdea57bd62c4

Les fichiers Java exploitent une vulnérabilité populaire, CVE-2012-1723, dans diverses configurations.

La charge utile déposée par ces codes d’exploitation Java est la suivante :

MD5: d7ca9cf72753df7392bfeea834bcf992

Le code d’exploitation Java utilise un chargeur spécial qui tente d’injecter la charge utile finale de la porte dérobée Epic dans explorer.exe. La porte dérobée extraite des codes d’exploitation Java possède le centre de commande suivant qui est codé en dur :

www.arshinmalalan[.]com/themes/v6/templates/css/in.php

Ce centre de commande est toujours en ligne actuellement, bien qu’il applique une redirection vers une page suspendue à l’adresse « hxxp://busandcoachdirectory.com[.]au ». Pour obtenir la liste complète des serveurs de commande, consultez l’Annexe.

Les auteurs de l’attaque Epic Turla font preuve d’un très grand dynamisme au moment d’utiliser des codes d’exploitation ou d’autres méthodes en fonction des disponibilités. Dernièrement, nous avons pu observé une autre technique associée à des attaques via la technique du trou d’eau. Cette nouvelle technique repose sur l’ingénierie sociale pour convaincre l’utilisateur d’exécuter un faux Flash Player (MD5 : 030f5fdb78bfc1ce7b459d3cc2cf1877) :

turla

Dans un cas au moins, ils ont essayé d’amener un utilisateur à télécharger et à exécuter une fausse application Microsoft Security Essential (MD5 : 89b0f1a3a667e5cd43f5670e12dba411):

turla

La fausse application est signée par un certificat numérique valide émis par Sysprint AG :

Numéro de série : ‎00 c0 a3 9e 33 ec 8b ea 47 72 de 4b dc b7 49 bb 95
Empreinte numérique : ‎24 21 58 64 f1 28 97 2b 26 22 17 2d ee 62 82 46 07 99 ca 46

turla
Signature valide de Sysprint AG sur le dropper Epic

Ce fichier était diffusé depuis le site du ministère des Affaires étrangères du Tadjikistan à l’adresse « hxxp://mfa[.]tj/upload/security.php ».

Le fichier est une application .NET qui contient une ressource chiffrée. Elle introduit le fichier malveillant dont la valeur MD5 est 7731d42b043865559258464fe1c98513.

Il s’agit d’une porte dérobée Epic qui se connecte aux centres de commande suivants avec l’identifiant générique interne 1156fd22-3443-4344-c4ffff:

hxxp://homaxcompany[.]com/components/com_sitemap/
hxxp://www.hadilotfi[.]com/wp-content/themes/profile/

La liste complète des URL des serveurs de commande que nous avons extraites des échantillons figure dans l’Annexe technique.

L’infrastructure de commande d’Epic

Les portes dérobées d’Epic réagissent aux instructions envoyées par un grand réseau de serveurs piratés qui remplissent la fonction de centre de commande.

Ce grand réseau administré par les auteurs de l’attaque Epic Turla remplit plusieurs fonctions. Par exemple, les serveurs principaux fonctionnent à la fois comme sites d’exploitation et comme panneaux de commande pour le programme malveillant.

Voici à quoi cela ressemble :

turla
Cycle de vie d’Epic Turla

Le premier niveau de serveurs proxy de commande communique en général avec un deuxième niveau qui, à son tour, communique avec le serveur principal. Ce serveur principal est généralement un VPS qui exécute le logiciel de panneau de contrôle qui sert à interagir avec les victimes. Les attaquants exploitent le serveur principal à l’aide d’un réseau de serveurs proxy et VPN pour des questions d’anonymat. Le serveur principal fait également office de serveur d’exploitation qui intervient dans les attaques via la technique du trou d’eau et remet les applications Java, IE ou les fausses applications à la victime.

Nous avons pu mettre la main sur un des serveurs principal, ce qui nous a permis de mieux comprendre l’opération.

Le serveur exécute un panneau de commande protégé par un mot de passe :

turla
Accès au panneau de commande du serveur principal Epic

Une fois connecté au panneau de commande, les attaquants ont un aperçu général du système, y compris le nombre de cibles intéressantes potentielles :

turla
Aperçu de l’état du panneau de commande Epic

On trouve sur ce serveur le fichier task.css qui est très intéressant. Les attaquants y définissent les plages d’adresses IP qui les intéressent. Pour modifier le fichier, ils utilise l’option "Task Editor" du menu. En fonction des "tâches", ils décideront d’infecter ou non l’ordinateur des visiteurs. Dans ce cas-ci, nous avons découvert qu’ils ciblaient deux plages qui appartenaient aux institutions suivantes :

  • Pays 1 – le gouvernement fédéral network
  • Pays 2 – Services informatiques et de télécommunication du gouvernement network

Il convient de noter que le fait que ces plages aient été prises pour cibles par les attaquants ne signifie pas que les attaques ont réussi. D’autres adresses IP inconnues ont également été observées dans les listes de cibles.

Il existe également un fichier nommé « except.css » dans lequel les attaquants consignent les raisons pour lesquelles ils n’ont pas tenté d’infecter certains visiteurs. Il existe trois valeurs possibles :

  • TRY (essayer)
  • DON’T TRY -> Version of the browser and OS does not meet the conditions (ne pas essayer, la version du navigateur et du système d’exploitation ne répond pas aux conditions)
  • DON’T TRY -> (2012-09-19 10:02:04) – checktime < 60 (ne pas essayer, temps de vérification inférieur à 60)

Voici les éléments qui ne « répondent pas aux conditions » que nous avons vus dans les journaux.

  • Windows 7 ou 2008 R2
  • MSIE 8.0
  • Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)
  • Adobe Shockwave 11.5.1.601
  • Adobe Flash 10.3.181.14
  • Adobe Reader 10.1.0.0
  • Win Media Player 12.0.7601.17514
  • Quick Time null
  • MS Word null
  • Java null

La porte dérobée Epic / Tavdig/ Wipbot

Dans le cadre de la première étape de cette attaque, l’acteur de la menace utilise une porte dérobée personnalisée. Dans certains cas, la porte dérobée est associée au code d’exploitation d’élévation de privilège CVE-2013-5065 et fortement obfusqué. Cela complique énormément l’analyse.

Le code d’exploitation de la vulnérabilité CVE-2013-5065 permet à la porte dérobée d’obtenir les privilèges d’administrateur sur le système et de s’exécuter sans restriction. Ce code d’exploitation fonctionne uniquement sur les systèmes Microsoft Windows XP qui ne possèdent pas le correctif.

La porte dérobée est également détectée sous les noms Trojan.Wipbot (Symantec) ou Tavdig.

La porte dérobée principale pèse environ 60 Ko et met en œuvre un protocole de centre de commande en plus des requêtes HTTP normale. Le protocole de communication utilise les requêtes xxxdans les réponses du centre de commande qui sont déchiffrées et traitées par le programme malveillant. Les réponses sont renvoyées au centre de commande via le même canal.

Le comportement du programme malveillant est défini par un bloc de configuration. Ce bloc contient en général deux URL de centre de commande codées en dur. Nous avons également observé un cas où le bloc de configuration contient une seule URL. La configuration peut également être mise à jour en vol par les attaquants via le centre de commande.

La porte dérobée tente d’identifier les processus suivants et si elle les trouve, elle s’arrête.

  • tcpdump.exe
  • windump.exe
  • ethereal.exe
  • wireshark.exe
  • ettercap.exe
  • snoop.exe
  • dsniff.exe

Elle contient un identifiant interne unique qui est utilisé pour identifier la victime du centre de commande. La majorité des échantillons, surtout les anciens, possède l’identifiant 1156fd22-3443-4344-c4ffff. Une fois que la victime est jugée « intéressante », les attaquants chargent une autre porte dérobée Epic qui possède un identifiant unique pour contrôler cette victime spécifique.

Lors du premier appel du centre de commande, la porte dérobée renvoie un paquet contenant les informations système de la victime. Toutes les informations suivantes envoyées au centre de commande sont chiffrées à l’aide d’un cadre de clé public qui rend le déchiffrement impossible. Le chiffrement des instructions du centre de commande est plus simple. Ces instructions peuvent être déchiffrées en cas d’interception car la clé secrète est codée en dur dans le programme malveillant.

Dans le cadre de la surveillance, nous avons pu capturé un volume important d’instructions envoyées par les attaquants aux victimes, ce qui nous a permis d’avoir une vue unique de l’opération. Voici une des réponses chiffrées du serveur :

turla

Une fois qu’une victime a été infectée et « contacte » le serveur, les attaquants envoient un modèle d’instructions :

turla

Ensuite, les attaquants tentent de se déplacer dans le réseau de la victime à l’aide de mots de passe prédéfinis ou recueillis :

turla

Etablir une liste récursive de tous les fichiers .doc est un autre « thème fréquent » :

turla

Au total, nous avons décodé plusieurs centaines de ces paquets d’instructions envoyés aux victimes, ce qui nous a permis de nous faire une très bonne idée de la manière dont les attaquants fonctionnent.

Outre les recherches génériques, nous avons observé des recherches très spécifiques. Il s’agissait par exemple de recherches sur :

  • *NATO*.msg
  • eu energy dialogue*.*
  • EU*.msg
  • Budapest*.msg

Dans ce cas, les attaquants étaient à la recherche de messages électroniques en rapport avec l’OTAN, le dialogue énergétique au sein de l’Union européenne, etc.

Sur certains des serveurs de commande, les attaquants ont mis en oeuvre un chiffrement RSA au niveau des journaux, ce qui rend leur déchiffrement impossible. Ce plan a été introduit en avril 2014.

turla

Déplacement latéral et mise à niveau vers des portes dérobées plus sophistiquées

Une fois qu’une victime a été compromise, les attaquants chargent plusieurs outils qui interviennent dans les déplacements latéraux.

Un de ces outils observés dans les attaques et enregistrés sous « C:Documents and SettingsAll usersStart MenuProgramsStartupwinsvclg.exe » est :

Nom : winsvclg.exe
MD5: a3cbf6179d437909eb532b7319b3dafe
Date de compilation : mardi 2 octobre 13:51:50 2012

Il s’agit d’un enregistreur de frappes qui crée %temp%~DFD3O8.tmp. Remarque : le nom de fichier change en fonction des victimes. Ainsi, le nom de fichier utilisé sur le système d’une victime travaillant au ministère des Affaires Etrangères d’un gouvernement d’Asie centrale était « adobe32updt.exe ».

Outre ces outils personnalisés, nous avons également observé l’utilisation d’utilitaires d’administration standard. Par exemple, un autre outil souvent chargé par les attaquants sur la machine de la victime est « winrs.exe » :

Nom : winrs.exe
MD5: 1369fee289fe7798a02cde100a5e91d8

Il s’agit d’un fichier binaire compacté par UPX qui contient le véritable outil « dnsquery.exe » de Microsoft, décompacté MD5 : c0c03b71684eb0545ef9182f5f9928ca.

Dans plusieurs cas, nous avons observé une mise à jour intéressante : un programme malveillant d’une famille différente, mais proche.

Taille : 275,968 octets
MD5: e9580b6b13822090db018c320e80865f
Date de compilation : jeudi 8 novembre 08 11:05:35 2012

autre exemple :

Taille : 218,112 octets
MD5: 071d3b60ebec2095165b6879e41211f2
Date de compilation : jeudi 8 novembre 08 11:04:39 2012

Cette porte dérobée est plus sophistiquée et appartient au niveau suivant des outils de cyberespionnage baptisé « Système Carbon » ou Cobra par les auteurs de l’attaque Turla. On sait qu’il existe plusieurs plug-ins pour le « système Carbon ».

turla
Configuration décodée pour e9580b6b13822090db018c320e80865f

Remarque : les serveurs de commande www.losguayaberos[.]com et thebesttothbrushes[.]com ont été détournés (sinkhole) par Kaspersky Lab.

Voici d’autres paquets envoyés aux victimes :

MD5: c7617251d523f3bc4189d53df1985ca9
MD5: 0f76ef2e6572befdc2ca1ca2ab15e5a1

Ces paquets de niveau supérieur déploient à la fois des portes dérobées Epic mises à jour et des portes dérobées du système Carbon sur les ordinateurs des victimes confirmées, ce qui revient à associer les opérations Epic et Turla Carbon.

Le droppeur Turla Carbon issu de ces paquets possède les propriétés suivantes :

MD5: cb1b68d9971c2353c2d6a8119c49b51f

Les auteurs l’appellent en interne « Carbon System » (système Carbon), qui fait partie du projet « Cobra », comme on peut le voir dans le chemin de débogage à l’intérieur :

turla

Il agit comme dropper pour les modules suivants (aussi bien 32 que 64 bits) :

MD5 Numéro de ressource
4c1017de62ea4788c7c8058a8f825a2d 101
43e896ede6fe025ee90f7f27c6d376a4 102
e6d1dcc6c2601e592f2b03f35b06fa8f 104
554450c1ecb925693fedbb9e56702646 105
df230db9bddf200b24d8744ad84d80e8 161
91a5594343b47462ebd6266a9c40abbe 162
244505129d96be57134cb00f27d4359c 164
4ae7e6011b550372d2a73ab3b4d67096 165

Le système Carbon est en fait une plate-forme extensible, qui ressemble beaucoup à d’autres plate-formes d’attaque comme Tilded ou Flame. Les plug-ins pour le système Carbon se reconnaissent aisément car ils sont toujours accompagnés d’au moins deux exportations nommées :

  • ModuleStart
  • ModuleStop

turla
Plug-in du système Carbon avec exportation caractéristique

Plusieurs portes dérobées Epic semblent avoir été conçues pour fonctionner également en tant que plug-in Carbon. Elles ont besoin d’un chargeur spécial pour démarrer dans les systèmes victimes sur lesquels le système Carbon n’a pas été déployé.

Certains modules possèdent des artéfacts qui indiquent que le système Carbon en est déjà à la version 3.x, même si la version exacte du système Carbon apparaît très rarement dans les échantillons :

turla

L’auteur du module Carbon ci-dessus apparaît également dans le code en tant que « gilg », qui est également l’auteur de plusieurs autres modules Turla.

Nous avons l’intention de consacrer ultérieurement un rapport détaillé au système Carbon Turla.

turla

Artéfacts linguistiques

La charge utile récupérée d’un des serveurs principaux (newsforum.servehttp[.]com/wordpress/wp-includes/css/img/upload.php, MD5 : 4dc22c1695d1f275c3b6e503a1b171f5, Date de compilation : jeudi 6 septembre 14:09:55 2012) contient deux modules, à savoir un chargeur/injecteur et une porte dérobée En interne, la porte dérobée est nomée « Zagruzchick.dll » :

turla

« Zagruzchick » est l’équivalent russe de « chargeur d’amorçage ».

Le panneau de commande des serveurs principaux d’Epic utilise également le code page « 1251 » :

turla

Ce code sert souvent à restituer les caractères cyrilliques.

D’autres éléments indiquent également que l’anglais n’est pas la langue maternelle des attaquants :

  • Password it?s wrong!
  • Count successful more MAX
  • File is not exists
  • File is exists for edit

L’échantillon e9580b6b13822090db018c320e80865f remis à plusieurs victimes d’Epic en tant que porte dérobée mise à jour possède la valeur « LANG_RUSSIAN » pour le code page de la compilation.

turla

L’acteur derrière l’opération « Epic » utilise principalement des serveurs piratés pour héberger ses serveurs proxy. Les serveurs piratés sont commandés via un webshell PHP. L’environnement est protégé par un mot de passe ; celui-ci est vérifié par rapport à un code de hachage MD5 :

turla

Kaspersky Lab a résolu le MD5 « af3e8be26c63c4dd066935629cf9bac8 » en tant que mot de passe « kenpachi ». En février 2014, nous avions observé l’acteur de menace Miniduke qui utilisait la même porte dérobée sur ses serveurs piratés, bien que son mot de passe était beaucoup plus robuste.

Ici aussi, on notera l’utilisation de Codepage 1251 dans le webshell, pour restituer des caractères cyrilliques.

Il semble qu’il existe plusieurs liens entre Turla et Miniduke, mais cela fera l’objet d’un autre billet.

Statistiques des victimes

Sur certains des serveurs de commande utilisés dans les attaques Epic, nous avons pu mettre la main sur les statistiques détaillées des victimes que les attaquants avaient enregistrées à des fins de débogage.

Voici la répartition des 20 pays les plus touchés sur la base des adresses IP des victimes :

turla

D’après les informations publiques disponibles au départ des adresses IP des victimes, les cibles d’Epic appartiennent aux catégories suivantes :

  • Gouvernement
    • šMinistère de l’Intérieur (pays de l’UE)
    • šMinistère du Commerce (pays de l’UE)
    • šMinistère des Affaires étrangères (pays asiatique, pays de l’UE)
    • šServices secrets (Moyen-Orient, pays de l’UE)
  • Ambassades
  • Armée (pays de l’UE)
  • Education
  • Recherche (Moyen-Orient)
  • Sociétés pharmaceutiques
  • Inconnu (impossible à déterminer sur la base de l’IP/des données existantes)

Synthèse

Lorsque G-Data a publié son article sur Turla, il existait peu d’informations publiquement accessibles sur la manière dont les victimes étaient infectées dans le cadre de cette campagne. Notre analyse a permis de démontrer qu’il s’agit d’une infection complexe à plusieurs niveaux, qui débute par Epic Turla. Cette étape permet de mettre un pied dans un système et de valider une victime à profil élevé. Si la victime est intéressante, elle est transférée au système Turla Carbon.

L’attaque la plus récente que nous avons observée a eu lieu le 5 août 2014 visait un utilisateur de Kaspersky Lab. Ceci indique que l’opération est toujours active.

Remarque : une analyse complète des attaques Epic est accessible aux clients de Kaspersky Intelligent Services. Contact : intelreports@kaspersky.com

Les noms de détection des produits Kaspersky Lab, pour tous les modules mentionnés dans l’article :

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

The technical Appendix (eng)

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *