Epic Turla (Snake/Uroburos)-attacker

VIRUSDEFINITION

Virustyp: Avancerat långvarigt hot (APT)

Vad är Epic Turla?

Turla, även kallat Snake eller Uroburos, är en av de mest avancerade aktuella fallen av cyberspionage. De senaste undersökningarna från Kaspersky Lab visar att Epic är det första steget i den smittande mekanismen Turla.

Epic attackerar följande sektorer: myndigheter (inrikes-, handels-, utrikes-och försvarsdepartement), ambassader, militären, forsknings- och utbildningsorganisationer och läkemedelsföretag.

De flesta som har drabbats bor i Mellanöstern och Europa, men vi har konstaterat att de även finns i bland annat USA. Kaspersky Labs experter identifierade sammanlagt flera hundra drabbade IP-adresser i mer än 45 länder, varav Frankrike stod överst på listan.

Attackerna som upptäcktes faller inom flera olika kategorier beroende på angreppssätt:

• E-postmeddelanden med riktat nätfiske som angriper program från Adobe (CVE-2013-3346 + CVE-2013-5065)
• Social manipulation för att lura användaren att köra skadliga installationsprogram i filformatet SCR som ibland har komprimerats med RAR
• Vattenhålsattacker via sårbarheter i Java (CVE-2012-1723), Adobe Flash (okänt) eller Internet Explorer 6, 7 och 8 (okänt)
• Vattenhålsattacker med social manipulation som lurar användaren att köra falska Flash Player-installationer med skadlig programvara

Hotinformation

Angriparna tar till både direkta riktade nätfiskemeddelanden och vattenhålsattacker för att smitta de drabbade. Vattenhål är webbplatser som ofta besöks av potentiella offer. Angriparna har i förväg komprometterat webbplatserna för att skicka ut skadlig kod. Beroende på besökarens IP-adress (om den till exempel tillhör en statlig organisation) skickas Java- eller webbläsarattacker, förfalskade Adobe Flash Player-program eller en falsk version av Microsoft Security Essentials.

Sammanlagt har vi noterat mer än 100 drabbade webbplatser. Valet av webbplatser återspeglar angriparnas intressen. Till exempel tillhör många smittade spanska webbplatser lokala myndigheter.

När användaren har smittats ansluter Epics bakdörr direkt till C&C-servern (command-and-control) för att skicka ett paket med den drabbades systeminformation. Bakdörren kallas även WorldCupSec, TadjMakhal, Wipbot eller Tadvig.

När ett system har utsatts tar anfallarna emot en kort sammanfattning av uppgifter från den drabbade och skickar de förkonfigurerade batchfilerna med en rad kommandon som körs. Dessutom överför angriparna anpassade verktyg som rör sig i sidled. Till exempel en specifik tangentbordsloggare, ett RAR-verktyg och vanliga program som ett DNS-verktyg från Microsoft.

Hur vet jag om jag har drabbats av Epic Turla?

Det bästa sättet att avgöra om du har drabbats av Epic Turla är att identifiera om det har skett ett intrång. Identifiering av hot kan göras med en kraftfull antivirusprodukt som Kaspersky Labs lösningar.

Kaspersky Labs produkter identifierar följande Epic Turla-moduler:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

Hur skyddar jag mig mot Epic Turla?

• Uppdatera operativsystemet och alla tredjepartsprogram, framför allt Java, Microsoft Office och Adobe Reader.
• Installera inte programvara från otillförlitliga källor, till exempel när du uppmanas av en slumpmässig sida.
• Var misstänksam mot e-post från okända källor som innehåller misstänkta bilagor eller länkar.

Tänk på att aktivera en säkerhetslösning och alla dess komponenter. Lösningens databaser bör också uppdateras

Andra artiklar och länkar relaterade till skadlig programvara

• Utpressningsviruset The Onion (krypteringstrojan)
• Hot från den skadliga programvaran Crouching Yeti
• Kaspersky Internet Security