Geekly articles weekly

Cybergroup Turla utilise Metasploit dans la campagne Mosquito

Turla est un groupe de cyber-espions bien connu opérant depuis au moins dix ans. La première mention du groupe est datée de 2008 et est associée au piratage du département américain de la Défense . Par la suite, Turla a été crédité de nombreux incidents de sécurité de l'information - attaques contre le gouvernement et les industries stratégiques, y compris l' industrie de la défense .



En janvier 2018, nous avons publié le premier rapport de la nouvelle campagne de distribution de porte dérobée Turla Mosquito et des indicateurs d'infection . La campagne est toujours active; les attaquants ont changé de tactique pour éviter d'être détecté.

Depuis mars 2018, nous avons vu des changements importants dans cette campagne - maintenant Turla utilise le framework open source Metasploit pour distribuer Mosquito. Ce n'est pas la première fois que Turla abandonne ses propres outils - auparavant, nous avons vu l'utilisation d'utilitaires pour extraire les informations d'identification (Mimikatz). Mais il convient de noter ici que Turla utilise Metasploit pour la première fois comme porte dérobée de la première étape de l'attaque au lieu de ses développements, tels que Skipper .

Distribution


Comme nous l'avons décrit dans un rapport précédent , le vecteur d'infection de périphérique cible dans la campagne Turla actuelle est un faux programme d'installation qui télécharge l'une des portes dérobées du groupe avec le lecteur Adobe Flash Player légitime. Les objectifs prioritaires sont les consulats et ambassades des pays d'Europe de l'Est.

Un compromis se produit lorsqu'un utilisateur télécharge le programme d'installation Flash à partir de get.adobe.com via HTTP. Le trafic est intercepté entre l'appareil final et les serveurs Adobe, ce qui permet aux opérateurs Turla de remplacer le fichier légitime par une version trojanisée. La figure ci-dessous montre les points auxquels il est théoriquement possible d'intercepter le trafic. Veuillez noter que le cinquième scénario - compromettant Adobe / Akamai - est exclu. Les attaquants ont uniquement utilisé la marque Adobe pour tromper les utilisateurs.



Nous n'avons pas défini de point d'interception du trafic, mais avons trouvé un nouveau fichier exécutable qui simule un programme d'installation Flash légitime, appelé flashplayer28_xa_install.exe . Ainsi, la méthode de compromis d'origine est toujours utilisée.

Analyse


Début mars 2018, dans le cadre de l'effort de suivi d'activité de Turla, nous avons constaté des changements dans la campagne de distribution de Mosquito. Malgré le fait que le groupe n'utilise aucun outil innovant, il s'agit d'un changement majeur dans ses tactiques, techniques et procédures (TTR).

Auparavant, la chaîne de compromis comprenait un faux programme d'installation Flash, réinitialisant le chargeur de démarrage et la porte dérobée principale (voir la figure ci-dessous).



Récemment, nous avons vu que la façon de réinitialiser la dernière porte dérobée a changé. Le faux programme d'installation de Flash est toujours impliqué dans la campagne, mais au lieu de supprimer directement deux DLL malveillantes, il exécute le shellcode Metasploit et réinitialise ou télécharge un programme d'installation légitime à partir de Google Drive. Le shellcode charge ensuite Meterpreter, une charge utile typique de Metasploit , en exposant un attaquant à accéder à un système compromis. Enfin, une porte dérobée Mosquito est installée sur le poste de travail. Le nouveau schéma est illustré dans la figure ci-dessous.



Dans le cadre de l'utilisation de Metasploit, nous pouvons supposer que l'opérateur contrôle le processus manuellement. La durée de l'attaque est relativement courte - la dernière porte dérobée a été réinitialisée dans les trente minutes après le début de la tentative de compromis.

Le shellcode utilisé est typique de Metasploit. Il est protégé par l'encodeur shikata_ga_nai avec sept itérations. Les captures d'écran ci-dessous montrent la charge utile chiffrée et déchiffrée.





Après décryptage, le shellcode communique avec le serveur C & C au 209.239.115 [.] 91 / 6OHEJ, qui contrôle le chargement de shellcode supplémentaire. Selon la télémétrie ESET, l'étape suivante consiste à charger Meterpreter. Cette adresse IP correspond au domaine psychologie-blog.ezua [.] Com, utilisé dans la campagne Mosquito depuis octobre 2017.

Ensuite, le faux programme d'installation Flash télécharge le programme d'installation Adobe légitime à partir d'une URL Google Drive et l'exécute afin que l'utilisateur ne soupçonne rien.

Des outils supplémentaires


En plus du nouveau faux installateur et de Meterpreter, nous avons remarqué que Turla utilise des outils supplémentaires:

  • Un exécutable personnalisé qui contient uniquement le shellcode Metasploit. Utilisé pour maintenir l'accès à une session Meterpreter. Enregistré dans
      C: \ Users \ <username> \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ msupdateconf.exe
    qui assure la persistance.
  • Un autre exécutable personnalisé pour exécuter des scripts PowerShell.
  • Porte dérobée Mosquito jscript utilisant Google Apps Script comme serveur C&C.
  • Escalade de privilèges à l'aide du module Metasploit ext_server_priv.x86.dll .

Conclusions


La publication décrit l'évolution de la campagne de distribution de Turla Mosquito au cours des derniers mois. Le principal changement est l'utilisation de Metasploit, un framework de test de pénétration populaire, comme première étape de la porte dérobée Mosquito personnalisée.

Indicateurs de compromis




C&C

209.239.115 [.] 91 / 6OHEJ
70.32.39 [.] 219 / n2DE3

Lien vers un programme d'installation Flash légitime

drive.google [.] Com / uc? Authuser = 0 & id = 1s4kyrwa7gCH8I5Z1EU1IZ_JaR48A7UeP & export = download

Source: https://habr.com/ru/post/fr412667/

More articles:


All Articles