Новая тактика хакеров группы Turla

Как сообщила компания ESET, ее эксперты обнаружили новые инструменты в арсенале кибершпионской группы Turla. Теперь для заражения целевых устройств хакеры используют Metasploit – легитимную платформу для тестирования на проникновение.

Turla – известная кибершпионская группа, действующая не менее 10 лет, ее первое упоминание датируется 2008 г. и связано с взломом Министерства обороны США. Впоследствии с группой связывали многочисленные инциденты ИБ – атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность.

В январе 2018 г. ESET опубликовала первый отчет о новой киберкампании Turla. Хакеры распространяли Mosquito, бэкдор собственной разработки, с помощью поддельного установщика Adobe Flash Player. Потенциальные жертвы группы – сотрудники консульств и посольств стран Восточной Европы. Затем, продолжая ту же кампанию, злоумышленники сменили тактику, чтобы избежать обнаружения. С марта 2018 г. хакеры Turla отказались от собственных инструментов на первом этапе атаки и используют вместо них платформу с открытым исходным кодом Metasploit. Метод не является новаторским, однако это существенный сдвиг в тактике, технике и процедурах (ТТР) кибергруппы.

Фальшивый установщик Adobe Flash Player выполняет на целевом устройстве шеллкод Metasploit, после чего сбрасывает или загружает с Google Drive легитимный установщик Flash. Затем шеллкод загружает Meterpreter – типичную полезную нагрузку Metasploit, позволяющую злоумышленнику управлять скомпрометированной системой. Наконец, на рабочую станцию загружается Mosquito, собственный бэкдор атакующих. Продолжительность такой атаки составляет около 30 мин.