Cybergroup Turla verwendet Metasploit in der Moskitokampagne

Turla ist eine bekannte Cyber-Spionagegruppe, die seit mindestens zehn Jahren tätig ist. Die erste Erwähnung der Gruppe stammt aus dem Jahr 2008 und steht im Zusammenhang mit dem Hack des US-Verteidigungsministeriums . In der Folge wurden Turla zahlreiche Vorfälle im Bereich der Informationssicherheit zugeschrieben - Angriffe auf Regierungs- und strategische Industrien, einschließlich der Verteidigungsindustrie .



Im Januar 2018 veröffentlichten wir den ersten Bericht über die neue Turla Mosquito Backdoor-Vertriebskampagne und Infektionsindikatoren . Die Kampagne ist noch aktiv. Angreifer änderten die Taktik, um nicht entdeckt zu werden.

Seit März 2018 haben wir bedeutende Änderungen in dieser Kampagne gesehen - jetzt verwendet Turla das Open-Source-Metasploit-Framework, um Mosquito zu vertreiben. Dies ist nicht das erste Mal, dass Turla seine eigenen Tools aufgibt. Zuvor wurden Dienstprogramme zum Extrahieren von Anmeldeinformationen verwendet (Mimikatz). Bemerkenswert ist jedoch, dass Turla Metasploit zum ersten Mal als Hintertür für die erste Phase des Angriffs anstelle seiner Entwicklungen wie Skipper verwendet .

Verteilung

Wie in einem früheren Bericht beschrieben , ist der Infektionsvektor für das Zielgerät in der aktuellen Turla-Kampagne ein gefälschtes Installationsprogramm, das eine der Hintertüren der Gruppe zusammen mit dem legitimen Adobe Flash Player herunterlädt. Vorrangige Ziele sind Konsulate und Botschaften der osteuropäischen Länder.

Ein Kompromiss tritt auf, wenn ein Benutzer das Flash-Installationsprogramm von get.adobe.com über HTTP herunterlädt. Der Datenverkehr wird zwischen dem Endgerät und den Adobe-Servern abgefangen, sodass Turla-Betreiber die legitime Datei durch eine trojanisierte Version ersetzen können. Die folgende Abbildung zeigt die Punkte, an denen es theoretisch möglich ist, den Verkehr abzufangen. Bitte beachten Sie, dass das fünfte Szenario - die Gefährdung von Adobe / Akamai - ausgeschlossen ist. Angreifer verwendeten die Marke Adobe nur, um Benutzer zu täuschen.



Wir haben keinen flashplayer28_xa_install.exe Datenverkehr festgelegt, aber eine neue ausführbare Datei gefunden, die ein legitimes Flash-Installationsprogramm namens flashplayer28_xa_install.exe . Daher wird die ursprüngliche Kompromissmethode immer noch verwendet.

Analyse

Anfang März 2018 stellten wir im Rahmen der Turla-Aktivitäten zur Verfolgung von Aktivitäten Änderungen in der Moskito-Vertriebskampagne fest. Trotz der Tatsache, dass die Gruppe keine innovativen Tools verwendet, ist dies eine wesentliche Änderung ihrer Taktiken, Techniken und Verfahren (TTR).

Zuvor enthielt die Kompromisskette ein gefälschtes Flash-Installationsprogramm, das den Bootloader und die Haupt-Backdoor zurücksetzte (siehe Abbildung unten).



Kürzlich haben wir gesehen, dass sich die Art und Weise, die letzte Hintertür zurückzusetzen, geändert hat. Das gefälschte Installationsprogramm von Flash ist weiterhin an der Kampagne beteiligt. Anstatt zwei schädliche DLLs direkt zu löschen, führt es den Metasploit-Shellcode aus und setzt ein legitimes Installationsprogramm von Google Drive zurück oder lädt es herunter. Der Shellcode lädt dann Meterpreter, eine typische Metasploit-Nutzlast , indem ein Angreifer dem Zugriff auf ein gefährdetes System ausgesetzt wird. Schließlich wird eine Moskito-Hintertür auf der Workstation installiert. Das neue Schema ist in der folgenden Abbildung dargestellt.



Im Zusammenhang mit der Verwendung von Metasploit können wir davon ausgehen, dass der Bediener den Prozess manuell steuert. Die Dauer des Angriffs ist relativ kurz - die letzte Hintertür wurde innerhalb von 30 Minuten nach Beginn des Kompromissversuchs zurückgesetzt.

Der verwendete Shellcode ist typisch für Metasploit. Es wird durch den Encoder shikata_ga_nai mit sieben Iterationen geschützt. Die folgenden Screenshots zeigen die verschlüsselten und entschlüsselten Nutzdaten.





Nach der Entschlüsselung kommuniziert der Shellcode unter 209.239.115 [.] 91 / 6OHEJ mit dem C & C-Server, der das Laden von zusätzlichem Shellcode steuert. Laut ESET-Telemetrie besteht der nächste Schritt darin, Meterpreter zu laden. Diese IP-Adresse entspricht der Psychologie-blog.ezua [.] Com-Domain, die seit Oktober 2017 in der Moskito-Kampagne verwendet wird.

Als Nächstes lädt das gefälschte Flash-Installationsprogramm das legitime Adobe-Installationsprogramm von einer Google Drive-URL herunter und führt es aus, damit der Benutzer nichts ahnt.

Zusätzliche Werkzeuge

Zusätzlich zum neuen gefälschten Installationsprogramm und Meterpreter haben wir festgestellt, dass Turla zusätzliche Tools verwendet:

• Eine benutzerdefinierte ausführbare Datei, die nur den Metasploit-Shellcode enthält. Wird verwendet, um den Zugriff auf eine Meterpreter-Sitzung aufrechtzuerhalten. Gespeichert in

    C: \ Benutzer \ <Benutzername> \ AppData \ Roaming \ Microsoft \ Windows \ Startmenü \ Programme \ Startup \ msupdateconf.exe 

  das sorgt für Ausdauer.
• Eine weitere benutzerdefinierte ausführbare Datei zum Ausführen von PowerShell-Skripten.
• Moskito-JScript-Backdoor mit Google Apps Script als C & C-Server.
• Eskalation von Berechtigungen mithilfe des Metasploit-Moduls ext_server_priv.x86.dll .

Schlussfolgerungen

Der Beitrag beschreibt die Entwicklung der Turla Mosquito-Vertriebskampagne in den letzten Monaten. Die wichtigste Änderung ist die Verwendung von Metasploit, einem beliebten Penetrationstest-Framework, als ersten Schritt in der benutzerdefinierten Moskito-Hintertür.

Kompromissindikatoren

C & C.

• 209.239.115 [.] 91 / 6OHEJ
• 70.32.39 [.] 219 / n2DE3

Link zu einem legitimen Flash-Installationsprogramm

• drive.google [.] Com / uc? Authuser = 0 & id = 1s4kyrwa7gCH8I5Z1EU1IZ_JaR48A7UeP & export = download