Epic Turla-aanvallen (Snake/Uroburos)
DEFINITIE VAN VIRUS
Type virus: Advanced Persistent Threat (APT)
Wat is Epic Turla?
Turla, ook bekend als Snake of Uroburos, is een van de vernuftigste cyberspionagecampagnes die er is. Volgens het nieuwste Kaspersky Lab-onderzoek is Epic de eerste fase van de Turla-infectie is.
Slachtoffers van 'Epic' behoren tot de volgende categorieën: overheidsinstanties (ministeries, inlichtingendiensten), ambassades, defensie, onderzoeks- en onderwijsorganisaties en farmaceutische bedrijven.
De meeste slachtoffers bevinden zich in het Midden-Oosten en Europa, maar er zijn ook slachtoffers in andere regio's, zoals de VS. In totaal telden Kaspersky Lab-deskundigen honderden getroffen IP-adressen verspreid over meer dan 45 landen. Frankrijk voerde de lijst aan.
De gedetecteerde aanvallen vallen in verschillende categorieën, afhankelijk van de aanvankelijke infectievector die werd gebruikt om het systeem van het slachtoffer te compromitteren:
- Spearphishingmails met Adobe PDF-exploits (CVE-2013-3346 en CVE-2013-5065)
- Social engineering waarmee de gebruiker wordt verleid om malware-installers met de extensie '.scr' te installeren. Deze zitten vaak vol RAR-archieven voor
- 'Watering hole'-aanvallen via Java-exploits (CVE-2012-1723), Adobe Flash-exploits (onbekend), of Internet Explorer 6-, 7-, 8-exploits (onbekend)
- 'Watering hole'-aanvallen die gebruikmaken van social engineering om de gebruiker te verleiden tot het uitvoeren van valse 'Flash Player'-malware-installers
Details dreiging
De aanvallers gebruiken zowel directe spearphishingmails als watering hole-aanvallen om de systemen van slachtoffers te infecteren. Watering holes zijn websites die vaak bezocht worden door potentiële slachtoffers. Deze websites zijn van tevoren gecompromitteerd door de aanvallers en voorzien van schadelijke code. Afhankelijk van het IP-adres van de bezoeker (bijvoorbeeld een IP-adres van een overheidsorganisatie) gebruiken de aanvallers Java- of browser-exploits, ondertekende Adobe Flash Player-nepsoftware of een nepversie van Microsoft Security Essentials.
In totaal hebben we meer dan 100 van deze gecompromitteerde websites gevonden. Uit de websitekeuze blijkt de concrete belangstelling van aanvallers. Veel van de besmette Spaanse websites zijn bijvoorbeeld van lokale overheden.
Zodra het systeem van de gebruiker is besmet, zal de Epic-backdoor onmiddellijk contact maken met de command-and-control-server om een pakket met de systeeminformatie van het slachtoffer te verzenden. De backdoor is ook bekend als 'WorldCupSec', 'TadjMakhal', 'Wipbot' of 'Tadvig'.
Zodra een systeem gecompromitteerd is, krijgen de aanvallers een korte samenvatting met informatie over het slachtoffer. Op basis daarvan zorgen ze voor vooraf geconfigureerde batchbestanden met een serie opdrachten die uitgevoerd moeten worden. Daarnaast uploaden de aanvallers aangepaste tools om het netwerk over te nemen. Deze omvatten een specifieke keyloggertool, een RAR-archiver en standaard hulpprogramma's zoals een DNS-querytool van Microsoft.
Hoe weet ik of mijn systeem besmet is met Epic Turla?
De beste manier om vast te stellen of je het slachtoffer van Epic Turla geworden bent, is door na te gaan of er een inbraak in je systeem is geweest. Een dreiging kan worden geïdentificeerd met een sterk anti-virusproduct zoals Kaspersky Lab-oplossingen.
Kaspersky Lab-producten detecteren de volgende modules van Epic Turla:
Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
Hoe kan ik mezelf beschermen tegen Epic Turla?
- Houd het besturingssysteem en alle applicaties van derden, met name Java, Microsoft Office en Adobe Reader, bijgewerkt
- Installeer geen software van onbetrouwbare bronnen, bijvoorbeeld wanneer hierom gevraagd wordt door een willekeurige pagina
- Wees op je hoede voor e-mails van onbekende afzenders die verdachte bijlagen of links bevatten
Een beveiligingsoplossing moet te allen tijde ingeschakeld zijn, net als alle componenten daarvan. De databases van de oplossing moeten ook up-to-date zijn
Andere artikelen en links met betrekking tot malwaredreigingen
Epic Turla-aanvallen (Snake/Uroburos)
Kaspersky
