Geekly articles weekly

Cybergroup Turla usa Metasploit en la campaña Mosquito

Turla es un conocido grupo de espías cibernéticos que opera desde hace al menos diez años. La primera mención del grupo data de 2008 y está asociada con el hackeo del Departamento de Defensa de los Estados Unidos . Posteriormente, a Turla se le atribuyeron numerosos incidentes de seguridad de la información: ataques contra el gobierno y las industrias estratégicas, incluida la industria de la defensa .



En enero de 2018, publicamos el primer informe de la nueva campaña de distribución de puerta trasera de Mosquito Turla e indicadores de infección . La campaña aún está activa; Los atacantes cambiaron de táctica para evitar ser detectados.

Desde marzo de 2018, hemos visto cambios significativos en esta campaña: ahora Turla utiliza el marco Metasploit de código abierto para distribuir Mosquito. Esta no es la primera vez que Turla abandona sus propias herramientas; anteriormente vimos el uso de utilidades para extraer credenciales (Mimikatz). Pero es notable aquí que Turla usa Metasploit por primera vez como puerta trasera de la primera etapa del ataque en lugar de sus desarrollos, como Skipper .

Distribución


Como describimos en un informe anterior , el vector de infección del dispositivo objetivo en la campaña actual de Turla es un instalador falso que descarga una de las puertas traseras del grupo junto con el legítimo Adobe Flash Player. Los objetivos prioritarios son los consulados y las embajadas de los países de Europa del Este.

El compromiso ocurre cuando un usuario descarga el instalador Flash de get.adobe.com a través de HTTP. El tráfico se intercepta entre el dispositivo final y los servidores de Adobe, lo que permite a los operadores de Turla reemplazar el archivo legítimo con una versión troyanizada. La siguiente figura muestra los puntos en los que es teóricamente posible interceptar el tráfico. Tenga en cuenta que el quinto escenario, que compromete a Adobe / Akamai, está excluido. Los atacantes solo usaron la marca Adobe para engañar a los usuarios.



No establecimos un punto de intercepción de tráfico, pero encontramos un nuevo archivo ejecutable que simula un instalador Flash legítimo, llamado flashplayer28_xa_install.exe . Por lo tanto, el método original de compromiso todavía está en uso.

Análisis


A principios de marzo de 2018, como parte del esfuerzo de seguimiento de la actividad de Turla, notamos cambios en la campaña de distribución de mosquitos. A pesar de que el grupo no utiliza ninguna herramienta innovadora, este es un cambio importante en sus tácticas, técnicas y procedimientos (TTR).

Anteriormente, la cadena de compromiso incluía un falso instalador de Flash, que restablecía el gestor de arranque y la puerta trasera principal (consulte la figura a continuación).



Recientemente, hemos visto que la forma de restablecer la última puerta trasera ha cambiado. El instalador falso de Flash todavía está involucrado en la campaña, pero en lugar de descartar directamente dos DLL maliciosas, ejecuta el código de shell Metasploit y restablece o descarga un instalador legítimo de Google Drive. El shellcode carga Meterpreter, una carga útil típica de Metasploit , exponiendo a un atacante a acceder a un sistema comprometido. Finalmente, se instala una puerta trasera Mosquito en la estación de trabajo. El nuevo esquema se muestra en la figura a continuación.



En relación con el uso de Metasploit, podemos suponer que el operador controla el proceso manualmente. La duración del ataque es relativamente corta: la última puerta trasera se restableció treinta minutos después del inicio del intento de compromiso.

El shellcode utilizado es típico de Metasploit. Está protegido por el codificador shikata_ga_nai con siete iteraciones. Las capturas de pantalla a continuación muestran la carga útil cifrada y descifrada.





Después del descifrado, el shellcode se comunica con el servidor C&C en 209.239.115 [.] 91 / 6OHEJ, que controla la carga de shellcode adicional. Según la telemetría de ESET, el siguiente paso es cargar Meterpreter. Esta dirección IP corresponde al dominio psicology-blog.ezua [.] Com, que se ha utilizado en la campaña Mosquito desde octubre de 2017.

A continuación, el instalador falso de Flash descarga el instalador legítimo de Adobe desde una URL de Google Drive y lo ejecuta para que el usuario no sospeche nada.

Herramientas adicionales


Además del nuevo instalador falso y Meterpreter, notamos que Turla usa herramientas adicionales:

  • Un ejecutable personalizado que contiene solo el shellcode de Metasploit. Se usa para mantener el acceso a una sesión de Meterpreter. Guardado en
      C: \ Users \ <nombre de usuario> \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ msupdateconf.exe
    eso proporciona persistencia.
  • Otro ejecutable personalizado para ejecutar scripts de PowerShell.
  • Puerta trasera Mosquito jscript usando Google Apps Script como servidor C&C.
  • Escalada de privilegios utilizando el módulo Metasploit ext_server_priv.x86.dll .

Conclusiones


La publicación describe la evolución de la campaña de distribución de Mosquito Turla en los últimos meses. El cambio principal es el uso de Metasploit, un marco de prueba de penetración popular, como el primer paso en la puerta trasera Mosquito personalizada.

Indicadores de compromiso




C&C

209.239.115 [.] 91 / 6OHEJ
70.32.39 [.] 219 / n2DE3

Enlace a un instalador Flash legítimo

drive.google [.] Com / uc? Authuser = 0 & id = 1s4kyrwa7gCH8I5Z1EU1IZ_JaR48A7UeP & export = download

Source: https://habr.com/ru/post/es412667/

More articles:


All Articles