Контакты
РџРѕРґРїРёСЃРєР°
МЕНЮ
Контакты
РџРѕРґРїРёСЃРєР°

Раскрыты подробности о деятельности хакерской группировки Turla

Раскрыты подробности о деятельности хакерской группировки Turla

Раскрыты подробности о деятельности хакерской группировки Turla


24.05.2018

Раскрыты подробности о деятельности хакерской группировки Turla

Хакерская группировка Turla, предположительно связанная с российским правительством, продолжает заниматься кибершпионажем, добавляя новые инструменты в свой арсенал. В январе текущего года группировка распространяла бэкдор под видом обновления Adobe Flash, однако начиная с марта 2018 года эксперты ESET зафиксировали значительные изменения в кампании. Теперь хакеры используют популярный фреймворк с открытым исходным кодом Metasploit для распространения бэкдора Mosquito.

 По словам специалистов, Turla впервые использовала Metasploit в качестве вредоносного ПО первого этапа, вместо того, чтобы и далее полагаться на собственные инструменты.

 В ходе вредоносной кампании Mosquito по-прежнему используется фальшивый установщик Adobe Flash, содержащий бэкдор Turla. При загрузке установщика Flash с сайта get.adobe.com по HTTP, атакующие перехватывают трафик и подменяют легитимный установщик на вредоносную версию.

 "В последнее время мы наблюдали изменения в способе доставки бэкдора. Кампания Turla по-прежнему полагается на фальшивый установщик Flash, однако вместо того, чтобы напрямую загрузить две вредоносные DLL-библиотеки, он выполняет командный код Metasploit и загружает из Google Диска легитимный установщик Flash. Затем загружается Meterpreter, который является типичной полезной нагрузкой Metasploit, позволяющей злоумышленнику управлять уязвимым устройством. Наконец, на устройство загружается бэкдор Mosquito", - следует из отчета ESET.

 Атакующие контролируют процесс эксплуатации вручную с использованием инфраструктуры Metasploit. Сама атака длится сравнительно короткое время - злоумышленники могут доставить Mosquito всего за тридцать минут.

 В дополнение к новым фальшивым установщикам Flash и Meterpreter хакеры использовали ряд других инструментов, в том числе исполняемый файл, содержащий shell-код Metasploit; исполняемый файл, используемый для выполнения сценариев PowerShell; бэкдор Mosquito, который использует Google Apps Script в качестве C&C-сервера; модуль Metasploit ext_server_priv.x86.dll, позволяющий добиться повышения привилегий.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: