تعريف الفيروس

نوع الفيروس: تهديد مستعصٍ متقدم

ما هو Epic Turla؟

تُعدّ Turla، المعروفة أيضًا بـ Snake أو Uroburos إحدى حملات التجسس الإلكتروني المستمرة الأكثر تعقيدًا. كشف أحدث أبحاث Kaspersky Lab عن هذه العملية أن Epic عبارة عن المرحلة الأولى من آلية إصابة الضحية ببرنامج Turla.

تنتمي أهداف "Epic" إلى الفئات التالية: الهيئات الحكومية (وزارة الداخلية ووزارة التجارة والتبادل التجاري ووزارة الخارجية/الشؤون الخارجية ووكالات الاستخبارات) والسفارات، والهيئات العسكرية، والمؤسسات البحثية والتعليمية، وشركات الأدوية.

يقع معظم الضحايا في الشرق الأوسط وأوروبا، ومع ذلك، لاحظنا وجود ضحايا في مناطق أخرى أيضًا ومنها الولايات المتحدة الأمريكية. وإجمالاً، أحصى خبراء Kaspersky Lab عناوين IP لمئات الضحايا موزَّعة في أكثر من 45 دولة وتحتل فرنسا أعلى القائمة.

تقع الهجمات التي كُشِف عنها في هذه العملية ضمن العديد من الفئات المختلفة بناءً على متجه الإصابة المبدئي المستخدم في الإضرار بالضحايا:

  • رسائل البريد الإلكتروني للتصيُّد بالحربة باستخدام عمليات استغلال Adobe PDF ‏(CVE-2013-3346 + CVE-2013-5065)
  • الهندسة الاجتماعية لخداع المستخدم لتشغيل مثبتات البرامج الضارة ذات امتداد "‎.SCR"، وفي بعض الأحيان المضغوطة باستخدام RAR
  • هجمات الحفر المائية باستخدام عمليات استغلال Java ‏(CVE-2012-1723) أو عمليات استغلال Adobe Flash (غير معروفة) أو عمليات استغلال Internet Explorer 6 و7 و8 (غير معروفة)
  • هجمات الحفر المائية التي تعتمد على الهندسة الاجتماعية لخداع المستخدم لتشغيل مثبتات مزيفة لبرامج "Flash Player" ضارة

تفاصيل التهديد

يستخدم المهاجمون كلاً من رسائل البريد الإلكتروني المباشرة للتصيُّد بالحربة وهجمات الحفر المائية لإصابة الضحايا. الحفر المائية عبارة عن مواقع ويب يتردد عليها الضحايا المحتملون. وقد قام المهاجمون باختراق هذه المواقع وإصابتها بشكل مسبق لتقديم تعليمات برمجية ضارة. وحسب عنوان IP الزائر (على سبيل المثال، عنوان IP خاص بهيئة حكومية)، يقدم المهاجمون عمليات استغلال Java أو للمستعرض أو برنامج Adobe Flash Player مزيف التسجيل أو إصدارًا مزيفًا من Microsoft Security Essentials.

ولقد لاحظنا أكثر من 100 موقع مصاب إجمالاً. يعكس اختيار مواقع الويب اهتمامًا محددًا من قبل المهاجمين. فعلى سبيل المثال، تنتمي العديد من المواقع الإسبانية المصابة إلى الحكومات المحلية.

يتصل عنصر التسلل الخاص بـ Epic بخادم الأوامر والتحكم (C&C) على الفور لإرسال حزمة بمعلومات نظام الضحية، وذلك بمجرد إصابة المستخدم. ويُعرَف عنصر التسلل بـ "WorldCupSec" أو "TadjMakhal" أو "Wipbot" أو "Tadvig"

بمجرد اختراق النظام، يتلقى المهاجمون معلومات الملخص من الضحية، وبناءً على ذلك، يوصلون ملفات دفعية مهيَّأة مسبقًا تحتوي على سلسلة من الأوامر للتنفيذ. بالإضافة إلى ذلك، يحمِّل المهاجمون أدوات الحركة الجانبية المخصصة. تشمل هذه أداة مسجِّل لوحة مفاتيح محدد، وأرشيف RAR وأدوات قياسية مثل أداة استعلام DNS من Microsoft.

كيف أعرف ما إذا كان جهازي مصابًا بـ Epic Turla

الطريقة المثلى لتحديد ما إذا كنت ضحية لـ Epic Turla هي تحديد ما إذا كان هناك اختراق. يمكن التعرف على التهديدات بواسطة منتج قوي لمكافحة الفيروسات مثل حلول Kaspersky Lab.

فستكشف منتجات Kaspersky Lab الوحدات التالية من Epic Turla:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

كيف يمكنني حماية نفسي من Epic Turla

  • استمر في تحديث نظام التشغيل وكل تطبيقات الأطراف الخارجية، ولا سيما Java وMicrosoft Office وAdobe Reader
  • لا تعمد إلى تثبيت برامج من مصادر غير موثوقة، إذا طلبت ذلك صفحة عشوائية على سبيل المثال
  • احذر من رسائل البريد الإلكتروني من مصادر غير معروفة التي تحتوي على ملحقات أو روابط مشبوهة

ينبغي تشغيل حل أمن في كل الأوقات، كما ينبغي أن تكون مكوناته نشطة. بالإضافة إلى ذلك، ينبغي أن تكون قواعد بيانات هذا الحل محدَّثة

مقالات وروابط أخرى متعلقة بتهديدات البرامج الضارة