Geekly articles weekly

Cybergroup Turla usa Metasploit na campanha Mosquito

Turla é um conhecido grupo de ciber-espiões que opera por pelo menos dez anos. A primeira menção do grupo é datada de 2008 e está associada ao hack do Departamento de Defesa dos EUA . Posteriormente, Turla foi creditada com inúmeros incidentes de segurança da informação - ataques a setores estratégicos e governamentais, incluindo o setor de defesa .



Em janeiro de 2018, publicamos o primeiro relatório da nova campanha de distribuição backdoor de mosquitos Turla Mosquito e indicadores de infecção . A campanha ainda está ativa; os atacantes mudaram de tática para evitar a detecção.

Desde março de 2018, vimos mudanças significativas nesta campanha - agora a Turla usa a estrutura Metasploit de código aberto para distribuir o Mosquito. Não é a primeira vez que o Turla abandona suas próprias ferramentas - anteriormente vimos o uso de utilitários para extrair credenciais (Mimikatz). Mas é digno de nota aqui que Turla usa o Metasploit pela primeira vez como porta dos fundos do primeiro estágio do ataque, em vez de seus desenvolvimentos, como o Skipper .

Distribuição


Conforme descrito em um relatório anterior , o vetor de infecção por dispositivo alvo na atual campanha da Turla é um instalador falso que baixa uma das backdoors do grupo junto com o legítimo Adobe Flash Player. Os objetivos prioritários são os consulados e embaixadas dos países da Europa Oriental.

O comprometimento ocorre quando um usuário baixa o instalador do Flash de get.adobe.com via HTTP. O tráfego é interceptado entre o dispositivo final e os servidores da Adobe, o que permite aos operadores Turla substituir o arquivo legítimo por uma versão trojanizada. A figura abaixo mostra os pontos nos quais é teoricamente possível interceptar o tráfego. Observe que o quinto cenário - comprometendo o Adobe / Akamai - é excluído. Os invasores usaram apenas a marca Adobe para enganar os usuários.



Não definimos um ponto de interceptação de tráfego, mas encontramos um novo arquivo executável que simula um instalador legítimo do Flash, chamado flashplayer28_xa_install.exe . Assim, o método original de compromisso ainda está em uso.

Análise


No início de março de 2018, como parte do esforço de rastreamento de atividades da Turla, notamos mudanças na campanha de distribuição do mosquito. Apesar de o grupo não usar nenhuma ferramenta inovadora, essa é uma grande mudança em suas táticas, técnicas e procedimentos (TTR).

Anteriormente, a cadeia de compromisso incluía um instalador falso do Flash, redefinindo o gerenciador de inicialização e o backdoor principal (veja a figura abaixo).



Recentemente, vimos que a maneira de redefinir o último backdoor mudou. O instalador falso do Flash ainda está envolvido na campanha, mas, em vez de eliminar diretamente duas DLLs maliciosas, executa o código de shell Metasploit e redefine ou baixa um instalador legítimo do Google Drive. O código de shell carrega o Meterpreter, uma carga útil típica do Metasploit , expondo um invasor a acessar um sistema comprometido. Finalmente, um backdoor Mosquito é instalado na estação de trabalho. O novo esquema é mostrado na figura abaixo.



Em conexão com o uso do Metasploit, podemos assumir que o operador controla o processo manualmente. A duração do ataque é relativamente curta - o último backdoor foi redefinido 30 minutos após o início da tentativa de comprometimento.

O código de shell usado é típico do Metasploit. É protegido pelo codificador shikata_ga_nai com sete iterações. As capturas de tela abaixo mostram a carga criptografada e descriptografada.





Após a descriptografia, o código de shell se comunica com o servidor C&C em 209.239.115 [.] 91 / 6OHEJ, que controla o carregamento de código de shell adicional. De acordo com a telemetria da ESET, o próximo passo é carregar o Meterpreter. Esse endereço IP corresponde ao domínio psychology-blog.ezua [.] Com, usado na campanha Mosquito desde outubro de 2017.

Em seguida, o falso instalador do Flash baixa o instalador legítimo do Adobe a partir de um URL do Google Drive e o executa para que o usuário não suspeite de nada.

Ferramentas adicionais


Além do novo instalador falso e do Meterpreter, notamos que o Turla usa ferramentas adicionais:

  • Um executável personalizado que contém apenas o código de shell Metasploit. Usado para manter o acesso a uma sessão do Meterpreter. Guardado em
      C: \ Usuários \ <nome de usuário> \ AppData \ Roaming \ Microsoft \ Windows \ Menu Iniciar \ Programas \ Inicialização \ msupdateconf.exe
    isso fornece persistência.
  • Outro executável personalizado para executar scripts do PowerShell.
  • Backdoor de jscript do mosquito usando o Google Apps Script como um servidor C&C.
  • Escalonamento de privilégios usando o módulo Metasploit ext_server_priv.x86.dll .

Conclusões


O post descreve a evolução da campanha de distribuição do mosquito Turla nos últimos meses. A principal mudança é o uso do Metasploit, uma estrutura popular de teste de penetração, como o primeiro passo no backdoor personalizado do Mosquito.

Indicadores de compromisso




C&C

209.239.115 [.] 91 / 6OHEJ
70.32.39 [.] 219 / n2DE3

Link para um instalador legítimo do Flash

drive.google [.] Com / uc? Authuser = 0 & id = 1s4kyrwa7gCH8I5Z1EU1IZ_JaR48A7UeP & export = download

Source: https://habr.com/ru/post/pt412667/

More articles:


All Articles