02-05-2019 18:40

Хакеры Turla меняют тактику

Хакеры Turla меняют тактику

Теперь хакеры используют для заражения целевых устройств Metasploit – легитимную платформу для тестирования на проникновение. Первое упоминание Turla датировано 2008 годом и связано с взломом Министерства обороны США. Впоследствии с группой связывали многочисленные инциденты информационной безопасности – атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность.

В январе 2018 года ESET опубликовала первый отчет о новой киберкампании Turla. Хакеры распространяли Mosquito, бэкдор собственной разработки, с помощью поддельного установщика Adobe Flash Player. Потенциальные жертвы группы – сотрудники консульств и посольств стран Восточной Европы. Данная кампания продолжается, однако злоумышленники сменили тактику, чтобы избежать обнаружения. С марта 2018 года хакеры Turla отказались от собственных инструментов на первом этапе атаки и используют вместо них платформу с открытым исходным кодом Metasploit. Метод не является новаторским, однако это существенный сдвиг в тактике, технике и процедурах (ТТР) кибергруппы.

McAfee и Sony на защите детейВам будет интересно:McAfee и Sony на защите детей

Фальшивый установщик Adobe Flash Player выполняет на целевом устройстве шеллкод Metasploit, после чего сбрасывает или загружает с Google Drive легитимный установщик Flash. Затем шеллкод загружает Meterpreter – типичную полезную нагрузку Metasploit, позволяющую злоумышленнику управлять скомпрометированной системой. Наконец, на рабочую станцию загружается Mosquito, собственный бэкдор атакующих. Продолжительность такой атаки составляет порядка тридцати минут.

Горячие темы: Внимание!

Компания: Eset