Geekly articles weekly

Cybergroup Turla menggunakan kampanye Metasploit in Mosquito

Turla adalah kelompok mata-mata maya terkenal yang beroperasi setidaknya selama sepuluh tahun. Penyebutan pertama kelompok itu tertanggal 2008 dan dikaitkan dengan peretasan Departemen Pertahanan AS . Selanjutnya, Turla dikreditkan dengan banyak insiden keamanan informasi - serangan terhadap pemerintah dan industri strategis, termasuk industri pertahanan .



Pada Januari 2018, kami menerbitkan laporan pertama kampanye distribusi pintu belakang Turla Mosquito dan indikator infeksi baru . Kampanye ini masih aktif; penyerang mengubah taktik untuk menghindari deteksi.

Sejak Maret 2018, kami telah melihat perubahan signifikan dalam kampanye ini - sekarang Turla menggunakan kerangka kerja open source Metasploit untuk mendistribusikan Nyamuk. Ini bukan pertama kalinya Turla meninggalkan alatnya sendiri - sebelumnya kami melihat penggunaan utilitas untuk mengekstraksi kredensial (Mimikatz). Tapi perlu dicatat di sini bahwa Turla menggunakan Metasploit untuk pertama kalinya sebagai pintu belakang dari tahap pertama serangan bukannya perkembangannya, seperti Skipper .

Distribusi


Seperti yang kami jelaskan dalam laporan sebelumnya , vektor infeksi perangkat target dalam kampanye Turla saat ini adalah penginstal palsu yang mengunduh salah satu halaman belakang grup bersama dengan Adobe Flash Player yang sah. Tujuan prioritas adalah konsulat dan kedutaan besar negara-negara Eropa Timur.

Kompromi terjadi ketika pengguna mengunduh pemasang Flash dari get.adobe.com melalui HTTP. Lalu lintas dicegat antara perangkat akhir dan server Adobe, yang memungkinkan operator Turla untuk mengganti file yang sah dengan versi trojanized. Gambar di bawah ini menunjukkan titik-titik di mana secara teoritis memungkinkan untuk mencegat lalu lintas. Harap perhatikan bahwa skenario kelima - kompromi Adobe / Akamai - dikecualikan. Penyerang hanya menggunakan merek Adobe untuk menipu pengguna.



Kami tidak menetapkan titik intersepsi lalu lintas, tetapi menemukan file yang dapat dieksekusi baru yang mensimulasikan pemasang Flash yang sah, yang disebut flashplayer28_xa_install.exe . Dengan demikian, metode kompromi yang asli masih digunakan.

Analisis


Pada awal Maret 2018, sebagai bagian dari upaya pelacakan kegiatan Turla, kami melihat perubahan dalam kampanye distribusi nyamuk. Terlepas dari kenyataan bahwa kelompok ini tidak menggunakan alat inovatif, ini adalah perubahan besar dalam taktik, teknik, dan prosedur (TTR).

Sebelumnya, rantai kompromi termasuk pemasang Flash palsu, mengatur ulang bootloader dan pintu belakang utama (lihat gambar di bawah).



Baru-baru ini, kita telah melihat bahwa cara untuk mereset backdoor terakhir telah berubah. Pemasang palsu Flash masih terlibat dalam kampanye, tetapi alih-alih langsung menjatuhkan dua DLL jahat, ia mengeksekusi kode sandi Metasploit dan mengatur ulang atau mengunduh pemasang yang sah dari Google Drive. Shellcode kemudian memuat Meterpreter, muatan Metasploit yang khas , dengan mengekspos penyerang untuk mengakses sistem yang disusupi. Akhirnya, pintu belakang nyamuk dipasang di workstation. Skema baru ada pada gambar di bawah ini.



Sehubungan dengan penggunaan Metasploit, kita dapat mengasumsikan bahwa operator mengontrol proses secara manual. Durasi serangan relatif singkat - pintu belakang terakhir direset dalam waktu tiga puluh menit setelah dimulainya upaya untuk berkompromi.

Shellcode yang digunakan adalah tipikal dari Metasploit. Itu dilindungi oleh encoder shikata_ga_nai dengan tujuh iterasi. Screenshot di bawah ini menunjukkan payload terenkripsi dan didekripsi.





Setelah dekripsi, shellcode berkomunikasi dengan server C&C di 209.239.115 [.] 91 / 6OHEJ, yang mengontrol pemuatan shellcode tambahan. Menurut telemetri ESET, langkah selanjutnya adalah memuat Meterpreter. Alamat IP ini sesuai dengan domain com psikologi-blog.ezua [.], Yang telah digunakan dalam kampanye Nyamuk sejak Oktober 2017.

Selanjutnya, pemasang Flash palsu mengunduh pemasang Adobe yang sah dari URL Google Drive dan menjalankannya sehingga pengguna tidak mencurigai apa pun.

Alat tambahan


Selain installer dan Meterpreter palsu baru, kami perhatikan bahwa Turla menggunakan alat tambahan:

  • Eksekusi kustom yang hanya berisi shellcode Metasploit. Digunakan untuk mempertahankan akses ke sesi Meterpreter. Disimpan dalam
      C: \ Users \ <username> \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Program \ Startup \ msupdateconf.exe
    yang memberikan ketekunan.
  • Eksekusi kustom lain untuk menjalankan skrip PowerShell.
  • Backdoor jscript nyamuk menggunakan Google Apps Script sebagai server C&C.
  • Eskalasi hak istimewa menggunakan modul Metasploit ext_server_priv.x86.dll .

Kesimpulan


Posting ini menjelaskan evolusi kampanye distribusi Nyamuk Turla selama beberapa bulan terakhir. Perubahan utama adalah penggunaan Metasploit, kerangka pengujian penetrasi yang populer, sebagai langkah pertama di pintu belakang Mosquito khusus.

Indikator kompromi




C&C

209.239.115 [.] 91 / 6OHEJ
70.32.39 [.] 219 / n2DE3

Tautan ke penginstal Flash yang sah

drive.google [.] Com / uc? Authuser = 0 & id = 1s4kyrwa7gCH8I5Z1EU1IZ_JaR48A7UeP & export = unduh = unduh

Source: https://habr.com/ru/post/id412667/

More articles:


All Articles