Раскрыты подробности о деятельности хакерской группировки Turla

Turla Metasploit
Раскрыты подробности о деятельности хакерской группировки Turla
Turla Metasploit

Хакерская группировка Turla использовала Metasploit в рамках вредоносной кампании Mosquito.

Хакерская группировка Turla, предположительно связанная с российским правительством, продолжает заниматься кибершпионажем, добавляя новые инструменты в свой арсенал. В январе текущего года группировка распространяла бэкдор под видом обновления Adobe Flash, однако начиная с марта 2018 года эксперты ESET зафиксировали значительные изменения в кампании. Теперь хакеры используют популярный фреймворк с открытым исходным кодом Metasploit для распространения бэкдора Mosquito.

По словам специалистов, Turla впервые использовала Metasploit в качестве вредоносного ПО первого этапа, вместо того, чтобы и далее полагаться на собственные инструменты.

В ходе вредоносной кампании Mosquito по-прежнему используется фальшивый установщик Adobe Flash, содержащий бэкдор Turla. При загрузке установщика Flash с сайта get.adobe.com по HTTP, атакующие перехватывают трафик и подменяют легитимный установщик на вредоносную версию.

«В последнее время мы наблюдали изменения в способе доставки бэкдора. Кампания Turla по-прежнему полагается на фальшивый установщик Flash, однако вместо того, чтобы напрямую загрузить две вредоносные DLL-библиотеки, он выполняет командный код Metasploit и загружает из Google Диска легитимный установщик Flash. Затем загружается Meterpreter, который является типичной полезной нагрузкой Metasploit, позволяющей злоумышленнику управлять уязвимым устройством. Наконец, на устройство загружается бэкдор Mosquito», - следует из отчета ESET.

Атакующие контролируют процесс эксплуатации вручную с использованием инфраструктуры Metasploit. Сама атака длится сравнительно короткое время - злоумышленники могут доставить Mosquito всего за тридцать минут.

В дополнение к новым фальшивым установщикам Flash и Meterpreter хакеры использовали ряд других инструментов, в том числе исполняемый файл, содержащий shell-код Metasploit; исполняемый файл, используемый для выполнения сценариев PowerShell; бэкдор Mosquito, который использует Google Apps Script в качестве C&C-сервера; модуль Metasploit ext_server_priv.x86.dll, позволяющий добиться повышения привилегий.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Новости по теме

Нерассказанная история OPERA1ER: падение одного из самых опасных киберпреступников Африки

Бэкапа не будет! Группировка UNC4466 добралась до серверов Veritas Backup Exec

Министерство юстиции США заявило, что оно нарушило работу одного из самых сложных кибершпионских инструментов

Эстонский бизнесмен в центре международного скандала, что известно о его связях с российским правительством?

SiCat: революция в поиске эксплойтов или новый инструмент хакеров?

Вымогатели Mallox меняют тактику: чего ожидать от их следующего цифрового удара?

Киберпреступники Tomiris активно собирают разведданные в странах СНГ

TinyTurla-NG пустила корни в польских организациях: прогнать хакеров не сможет уже никто

Невидимый враг в сетях Европы: НПО под прицелом TinyTurla-NG