42
Mais Eset a dit que c’est très probablement une hypothèse est que Turla Adn Gamaredon travaillait ensemble. «Étant donné que les deux groupes font partie du FSB russe (bien que dans deux centres différents), Gamaredon a donné accès aux opérateurs Turla afin qu’ils puissent émettre des commandes sur une machine spécifique pour redémarrer Casinoet déployez Kazuar V2 sur d’autres », a déclaré la société.
Le post de vendredi a noté que Gamaredon a été vu auparavant collaborant avec d’autres groupes de piratage, en particulier en 2020 avec un groupe ESET Tracks sous le nom d’Invisimole.
En février, a déclaré ESET, des chercheurs de l’entreprise ont repéré quatre co-compromises distinctes de Gamaredon-Turla en Ukraine. Sur toutes les machines, Gamaredon a déployé un large éventail d’outils, y compris ceux suivis sous les noms Pterolnk, Pterostew, Pteroodd, Pteroeffigy et Pterographin. Turla, pour sa part, a installé la version 3 de son logiciel malveillant propriétaire Kazuar.
Le logiciel ESET installé sur l’un des dispositifs compromis observés a observé des commandes de Turla via les implants Gamaredon.
« Pterographin a été utilisé pour redémarrer Kazuar, peut-être après que Kazuar s’est écrasé ou n’a pas été lancé automatiquement », a déclaré Eset. « Ainsi, le ptérographie a probablement été utilisé comme méthode de récupération par Turla. C’est la première fois que nous sommes en mesure de relier ces deux groupes via des indicateurs techniques (voir First Chain: First Chain: Restart of Kazuar V3). »
Puis, en avril et de nouveau en juin, Eset a déclaré avoir détecté des installateurs de Kazuar V2 déployés par Gamaredon Malware. Dans tous les cas, le logiciel ESET a été installé après les compromis, il n’était donc pas possible de récupérer les charges utiles. Néanmoins, l’entreprise a déclaré qu’elle pensait qu’une collaboration active entre les groupes est la clarification la plus probable.
«Tous ces éléments et le fait que Gamaredon compromet des centaines sinon des milliers de machines suggèrent que Turla est intéressant