Turla هي مجموعة تجسس إلكترونية معروفة تعمل لمدة عشر سنوات على الأقل. أول ذكر للمجموعة مؤرخ في عام 2008 ويرتبط باختراق
وزارة الدفاع الأمريكية . في وقت لاحق ، كان الفضل في تورلا مع العديد من حوادث أمن المعلومات - الهجمات على الصناعات الحكومية والاستراتيجية ، بما في ذلك
صناعة الدفاع .
في كانون الثاني (يناير) 2018 ، نشرنا
التقرير الأول لحملة توزيع Turla Mosquito الباب الخلفي الجديدة
ومؤشرات العدوى . الحملة لا تزال نشطة. قام المهاجمون بتغيير التكتيكات لتجنب الكشف.
منذ مارس 2018 ، شهدنا تغييرات كبيرة في هذه الحملة - الآن تستخدم Turla إطار Metasploit مفتوح المصدر لتوزيع البعوض. ليست هذه هي المرة الأولى التي تتخلى فيها Turla عن أدواتها الخاصة - فقد رأينا سابقًا استخدام الأدوات المساعدة لاستخراج بيانات الاعتماد (Mimikatz). لكن من الجدير بالذكر هنا أن Turla تستخدم Metasploit لأول مرة كباب خلفي للمرحلة الأولى من الهجوم بدلاً من
تطوراته ، مثل
Skipper .
التوزيع
كما وصفنا في
تقرير سابق ، فإن ناقل العدوى في الجهاز المستهدف في حملة Turla الحالية هو برنامج تثبيت مزيف يقوم بتنزيل أحد أبواب المجموعة الخلفية مع برنامج Adobe Flash Player الشرعي. الأهداف ذات الأولوية هي القنصليات والسفارات في دول أوروبا الشرقية.
يحدث التسوية عندما يقوم المستخدم بتنزيل مثبت Flash من get.adobe.com عبر HTTP. يتم اعتراض حركة المرور بين الجهاز النهائي وخوادم Adobe ، مما يسمح لمشغلي Turla باستبدال الملف الشرعي بإصدار طروادة. يوضح الشكل أدناه النقاط التي يمكن من خلالها
نظريًا اعتراض حركة المرور.
يرجى ملاحظة أن السيناريو الخامس - اختراق Adobe / Akamai - مستبعد. استخدم المهاجمون فقط علامة Adobe التجارية لخداع المستخدمين.
لم نقم بتعيين نقطة اعتراض حركة المرور ، ولكننا وجدنا ملفًا تنفيذيًا جديدًا يحاكي مثبت Flash شرعيًا ، يسمى
flashplayer28_xa_install.exe . وبالتالي ، لا تزال طريقة الحل الوسط الأصلية قيد الاستخدام.
التحليل
في أوائل مارس 2018 ، كجزء من جهود تتبع نشاط Turla ، لاحظنا تغييرات في حملة توزيع البعوض. على الرغم من حقيقة أن المجموعة لا تستخدم أي أدوات مبتكرة ، إلا أن هذا تحول كبير في تكتيكاتها وتقنياتها وإجراءاتها (TTR).
في السابق ، تضمنت سلسلة الحلول الوسطية أداة تثبيت فلاش مزيفة ، وإعادة تعيين أداة تحميل التشغيل والباب الخلفي الرئيسي (انظر الشكل أدناه).
لقد رأينا مؤخرًا أن طريقة إعادة تعيين الباب الخلفي الأخير قد تغيرت. لا يزال برنامج التثبيت المزيف لـ Flash متورطًا في الحملة ، ولكن بدلاً من إسقاط ملفي DLL ضارين بشكل مباشر ، فإنه ينفذ كود قشرة Metasploit ويعيد تعيين أو تنزيل أداة تثبيت شرعية من Google Drive. ثم يقوم كود القشرة بتحميل Metrepreter ، وهو
حمولة Metasploit نموذجية ، عن طريق تعريض المهاجم للوصول إلى نظام مخترق. أخيرًا ، يتم تثبيت باب البعوض الخلفي على محطة العمل. يظهر المخطط الجديد في الشكل أدناه.
فيما يتعلق باستخدام Metasploit ، يمكننا أن نفترض أن المشغل يتحكم في العملية يدويًا. مدة الهجوم قصيرة نسبيًا - تم إعادة تعيين الباب الخلفي الأخير في غضون ثلاثين دقيقة بعد بدء محاولة التنازل.
كود القشرة المستخدم هو نموذجي لـ Metasploit. محمي بواسطة
التشفير shikata_ga_nai مع سبعة تكرارات. توضح لقطات الشاشة أدناه الحمولة المشفرة وغير المشفرة.
بعد فك التشفير ، يتصل كود القشرة مع خادم C & C على
الرقم 209.239.115 [.] 91 / 6OHEJ ، الذي يتحكم في تحميل كود القشرة الإضافي. وفقًا لقياس ESET عن بُعد ، فإن الخطوة التالية هي تحميل Meterpreter. يتوافق عنوان IP هذا مع النطاق psychology-blog.ezua [.] Com ، الذي تم استخدامه في حملة البعوض منذ أكتوبر 2017.
بعد ذلك ، يقوم مثبِّت Flash المزيف بتنزيل مثبت Adobe الشرعي من عنوان URL على Google Drive وتشغيله بحيث لا يشك المستخدم في أي شيء.
أدوات إضافية
بالإضافة إلى المثبت المزيف الجديد و Meterpreter ، لاحظنا أن Turla تستخدم أدوات إضافية:
الاستنتاجات
يصف المنشور تطور حملة توزيع Turla البعوض خلال الأشهر القليلة الماضية. التغيير الرئيسي هو استخدام Metasploit ، وهو إطار اختبار اختراق شائع ، كخطوة أولى في باب البعوض المخصص.
مؤشرات التسوية
C&C
•
209.239.115 [.] 91 / 6OHEJ
•
70.32.39 [.] 219 / n2DE3
رابط إلى برنامج تثبيت Flash شرعي
•
drive.google [.] Com / uc؟ Authuser = 0 & id = 1s4kyrwa7gCH8I5Z1EU1IZ_JaR48A7UeP & export = download