Palo Alto Networks сообщают, что выявили таргетированные атаки на российские организации (правда, с задержкой в годы). Вредонос, который называют AcidBox, использовал эксплоит, ранее связывавшийся с самой загадочной и старой русскоязычной хакерской группой Turla (известной также как Waterbug, Venomous Bear и KRYPTON).
Речь о проблеме CVE-2008-3431, которую первыми начали эксплуатировать Turla, использовании подписанного драйвер VirtualBox (VBoxDrv.sys v1.6.2) для деактивации Driver Signature Enforcement (DSE) и загрузки неподписанных драйверов-пейлоадов.
Вредонос AcidBox достаточно уникален по структуре («дизайнерский вирус»), Он использует некую форму стеганографии и прячет конфиденциальные данные в иконках, злоупотребляет интерфейсом SSP, чтобы надежно закрепиться в системе, хранит свою полезную нагрузку в реестре Windows и не похож ни на какую другую малварь.
Скорее всего данный вирус входит в состав большого авторского набора инструментов, вероятно, принадлежащих некой APT. Подробности неизвестны, а след, ведущий к Turla, весьма эфемерен.
Читайте также на АКБ:
Самые загадочные в мире русские хакеры Turla возобновили атаки