События

Раскрыты подробности о деятельности хакерской группировки Turla

Хакерская группировка Turla, предположительно связанная с российским правительством, продолжает заниматься кибершпионажем, добавляя новые инструменты в свой арсенал. В январе текущего года группировка распространяла бэкдор под видом обновления Adobe Flash, однако начиная с марта 2018 года эксперты ESET зафиксировали значительные изменения в кампании. Теперь хакеры используют популярный фреймворк с открытым исходным кодом Metasploit для распространения бэкдора Mosquito.

По словам специалистов, Turla впервые использовала Metasploit в качестве вредоносного ПО первого этапа, вместо того, чтобы и далее полагаться на собственные инструменты.

В ходе вредоносной кампании Mosquito по-прежнему используется фальшивый установщик Adobe Flash, содержащий бэкдор Turla. При загрузке установщика Flash с сайта get.adobe.com по HTTP, атакующие перехватывают трафик и подменяют легитимный установщик на вредоносную версию.

«В последнее время мы наблюдали изменения в способе доставки бэкдора. Кампания Turla по-прежнему полагается на фальшивый установщик Flash, однако вместо того, чтобы напрямую загрузить две вредоносные DLL-библиотеки, он выполняет командный код Metasploit и загружает из Google Диска легитимный установщик Flash. Затем загружается Meterpreter, который является типичной полезной нагрузкой Metasploit, позволяющей злоумышленнику управлять уязвимым устройством. Наконец, на устройство загружается бэкдор Mosquito», - следует из отчета ESET.

Атакующие контролируют процесс эксплуатации вручную с использованием инфраструктуры Metasploit. Сама атака длится сравнительно короткое время - злоумышленники могут доставить Mosquito всего за тридцать минут.

В дополнение к новым фальшивым установщикам Flash и Meterpreter хакеры использовали ряд других инструментов, в том числе исполняемый файл, содержащий shell-код Metasploit; исполняемый файл, используемый для выполнения сценариев PowerShell; бэкдор Mosquito, который использует Google Apps Script в качестве C&C-сервера; модуль Metasploit ext_server_priv.x86.dll, позволяющий добиться повышения привилегий.

Источник

Автор: Сергей Куприянов
24.05.2018 (18:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.