Пресс-релизы //

ESET: хакеры Turla атакуют пользователей Microsoft Outlook

Специалисты ESET выполнили анализ бэкдора кибершпионской группы Turla, который использовался для кражи конфиденциальных данных госучреждений в странах Европы. Хакеры управляли программой через Microsoft Outlook, отправляя команды в PDF-файлах во вложении.

Вредоносная программа была установлена на нескольких компьютерах Федерального министерства иностранных дел Германии. Чтобы достичь этой цели, операторы Turla скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не проникли в МИД в марте 2017 года. Далее на протяжении 2017 года Outlook-бэкдор обеспечивал хакерам доступ к данным, включая почту сотрудников.

Операторы Turla используют для связи с бэкдором электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. Так они могут отправлять на зараженный компьютер целый ряд команд: выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы. Собранная информация также будет отправлена хакерам в PDF.

Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами. Фактически, вредоносная программа выполнит команды любого, кто сможет закодировать их в PDF-документе. В свою очередь, операторы Turla могут восстановить контроль, отправив бэкдору соответствующий запрос с любого адреса электронной почты.

Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах.

Кроме того, бэкдор дублирует своим операторам все исходящие письма жертвы. Почта уходит одновременно с отправкой настоящих писем, поэтому подозрительный трафик за пределами рабочего дня пользователя отсутствует.

Чтобы скрыть свою активность, бэкдор блокирует уведомления о входящих письмах от операторов. Отправленная хакерам почта также не отображается в почтовом ящике. Тем не менее, в момент поступления письма с командами жертва может видеть индикатор непрочтенного входящего сообщения в течение нескольких секунд.

Новейшие версии бэкдора нацелены на Microsoft Outlook, более старые позволяли также работать с почтовым клиентом The Bat!, популярным в Восточной Европе.

Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты – MAPI. Это существенная доработка в сравнении с прежними версиями бэкдора. По мнению специалистов ESET, Turla – единственная кибергруппа, которая использует в настоящее время подобные инструменты.

Кибергруппа Turla (Snake, Uroboros) получила известность в 2008 года после взлома защищенных объектов, включая сеть Центрального командования ВС США. В списке жертв – Министерство иностранных дел Финляндии (2013 г.), швейцарская оборонная корпорация RUAG (2014–2016 гг.), правительство Германии (конец 2017–начало 2018 гг.).

Более подробная информация об угрозе и индикаторы заражения – в блоге ESET на Хабрахабре.

Контактное лицо: Евгения Громова
Компания: ESET Russia
Добавлен: 23:40, 28.08.2018 Количество просмотров: 543
Страна: Россия

«Группа Астра» и НОТА создадут ПАК на базе Astra Linux Embedded, ПАО ГРУППА АСТРА, 17:02, 13.10.2025, Россия90

В рамках форума инновационных финансовых технологий «Финополис 2025» представители двух ведущих российских ИТ‑компаний подписали соглашение о совместной разработке программно‑аппаратных комплексов, представляющих собой терминалы на базе ПО от платформы корпоративных коммуникаций DION и встраиваемой версии операционной системы Astra Linux Embedded.

Платформа SpaceVM 6.5.8 совместима с MULTIDIRECTORY Enterprise 2.4.0-01е, ДАКОМ М, 14:48, 13.10.2025, Россия104
«ДАКОМ М» и МУЛЬТИФАКТОР подтвердили совместимость и корректность работы своих продуктов.

БФТ-Холдинг и ИТ-экосистема «Лукоморье» заключили соглашение о технологическом партнёрстве, БФТ-Холдинг, 14:48, 13.10.2025, Россия102

9 октября на площадке форума «Финополис» БФТ-Холдинг и ИТ-экосистема «Лукоморье» подписали соглашение о технологическом сотрудничестве. Цель партнёрства — расширение партнёрского портфеля БФТ-Холдинга для предложения комплексных решений корпоративным и государственным заказчикам.

БФТ-Холдинг и «Тантор Лабс» подписали соглашение о стратегическом партнёрстве, БФТ-Холдинг, 14:37, 13.10.2025, Россия73
9 октября 2025 года на форуме «Финополис» БФТ-Холдинг и компания «Тантор Лабс» (входит в «Группу Астра») заключили стратегическое соглашение о технологическом партнёрстве.

«Группа Астра» и АТОЛ расширяют линейку совместимых устройств для финансового сектора, ПАО ГРУППА АСТРА, 09:55, 13.10.2025, Россия102

На форуме инновационных финансовых технологий «Финополис» представители «Группы «Астра» и ведущего разработчика платежных решений АТОЛ подписали новое соглашение о сотрудничестве, направленное на масштабное расширение линейки оборудования для автоматизации бизнеса, совместимого с отечественной операционной системой Astra Linux.

HR в эпоху цифры: от подбора специалистов до развития компетенций, UDV Group, 09:47, 13.10.2025, Россия99

Рынок труда в 2025 году меняется быстрее, чем когда-либо: автоматизация, ИИ и цифровые платформы перестраивают привычные процессы подбора и развития сотрудников.

LUIS+: за цифрами ИИ — живые люди с их потребностями и мечтами, LUIS+, 09:47, 13.10.2025, Россия92

Анна Крамаренко, старший HR бизнес-партнер LUIS+, рассказала о том, как в компании создают среду, где люди чувствуют поддержку, видят перспективы роста и остаются мотивированными даже в сложных условиях рынка.

ЕДИНЫЙ ЦУПИС перечислил в ЕРАИ 84 млрд рублей отчислений на развитие российского спорта за 4 года, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 09:41, 13.10.2025, Россия94

ЕДИНЫЙ ЦУПИС придерживается принципов корпоративной социальной ответственности и реализует механизм удержания целевых отчислений на поддержку отечественного спорта, в том числе детско-юношеского. На сегодняшний день на эти цели перечислено порядка 84 млрд рублей.

ЕДИНЫЙ ЦУПИС второй год подряд признан «Отличным местом для работы», ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 09:41, 13.10.2025, Россия102

Платежный сервис в регулируемой индустрии развлечений ЕДИНЫЙ ЦУПИС подтвердил высокий статус работодателя, получив престижный сертификат «Отличное место для работы» в рамках масштабного проекта Happy Job. Компания удостоилась награды сразу в двух категориях: «Банки и финансовые услуги» и «ИТ».

Марафон Знание.Первые и Нетология: около 70% молодежи заинтересованы в самообразовании и получении новых знаний, Общество "Знание", 15:59, 10.10.2025, Россия378

Подавляющее большинство молодых людей в России видят в получении новых знаний прямой путь к личному и профессиональному успеху.

БФТ-Холдинг и TData заключили партнерское соглашение на «Финополис 2025», БФТ-Холдинг, 14:21, 10.10.2025, Россия403

БФТ-Холдинг и TData заключили соглашение о стратегическом партнерстве на форуме технологических компаний «Финополис 2025». Основная задача партнерства — повысить качество управления данными и внедрить единую методологию по работе с данными по всей стране.

GreenData: планы перехода на отечественное ПО у компаний из финсектора расписаны до 2027 года, GreenData, 14:20, 10.10.2025, Россия429

В рамках бизнес-мероприятия «G.by GreenData» прошла дискуссия об импортозамещении в финсекторе. Представители банков, страховых и финансовых компаний обсудили стратегии перехода на отечественное ПО и оборудование к установленному сроку – 1 сентября 2027 года.

Hybrid Metaverse выводит рекламу в Roblox на новый уровень с запуском формата MOOH Video Native, Hybrid, 14:20, 10.10.2025, Россия391

Компания Hybrid Metaverse, входящая в AdTech-экосистему Hybrid, представила новый рекламный формат — MOOH Video Native в Roblox. Это решение позволяет транслировать видеоролики в виртуальных мирах и органично интегрироваться в пользовательский опыт.

Цифровой разработчик Т1 сэкономит ИТ-специалистам 4 часа в неделю, ИТ-холдинг Т1, 14:19, 10.10.2025, Россия403

ИТ-холдинг Т1 представил на форуме FINOPOLIS-2025 прототип Цифрового разработчика — инновационное решение, которое объединяет возможности нескольких ИИ-ассистентов в сфере разработки ПО. Этот многозадачный «ИИ-сотрудник» позволит автоматизировать типичные операции продуктовых и проектных команд — и таким образом сможет экономить до 10% рабочего времени специалистов.

Газпромбанк и BSS подписали меморандум о развитии клиентского сервиса на основе искусственного интеллекта и генеративных нейросетей, BSS, 14:15, 10.10.2025, Россия408

Стратегия сотрудничества позволит совершенствовать коммуникации с клиентами в различных каналах взаимодействия с использованием мультиагентного искусственного интеллекта, включая генеративный, выводить на рынок новые продукты и автоматизировать внутренние сервисы банка.