Turla是一个知名的网络间谍组织,至少运营了十年。 该小组的首次提及日期为2008年,与
美国国防部的入侵
有关 。 随后,Turla因无数信息安全事件而受到赞誉-对政府和战略性行业,包括
国防工业的攻击。
2018年1月,我们发布了新的Turla Mosquito后门分发活动和
感染指标的
第一份报告 。 该活动仍在进行中; 攻击者改变了战术以避免被发现。
自2018年3月以来,我们在此活动中看到了重大变化-现在Turla使用开源Metasploit框架分发Mosquito。 这不是Turla第一次放弃自己的工具-以前我们看到使用实用程序来提取凭证(Mimikatz)。 但是在这里值得注意的是,Turla首次使用Metasploit作为攻击第一阶段的后门,而不是像
Skipper这样的发展。
经销
正如我们在
上一份报告中所述,当前Turla广告系列中的目标设备感染媒介是一个伪造的安装程序,该安装程序会与合法的Adobe Flash Player一起下载该组织的后门之一。 重点目标是东欧国家的领事馆和使馆。
当用户通过HTTP从get.adobe.com下载Flash安装程序时,就会发生妥协。 在终端设备和Adobe服务器之间拦截了流量,这使Turla操作员可以使用木马版本替换合法文件。 下图显示了
理论上可以拦截流量的点。
请注意,不包括第五种情况-损害Adobe / Akamai。 攻击者仅使用Adobe品牌来欺骗用户。
我们没有设置流量拦截点,但是找到了一个模拟可执行文件Flash安装程序的新可执行文件,名为
flashplayer28_xa_install.exe 。 因此,原始的折衷方法仍在使用。
分析方法
在2018年3月上旬,作为Turla活动跟踪工作的一部分,我们注意到蚊子分发活动发生了变化。 尽管该小组没有使用任何创新工具,但这是其战术,技术和程序(TTR)的重大转变。
以前,泄密链包括一个伪造的Flash安装程序,用于重置引导程序和主后门(请参见下图)。
最近,我们已经看到重置最后一个后门的方法已经改变。 假冒的Flash安装程序仍参与该活动,但它没有直接删除两个恶意DLL,而是执行Metasploit shellcode并从Google云端硬盘重置或下载合法的安装程序。 然后,shellcode通过使攻击者访问受感染的系统来加载Meterpreter(
典型的Metasploit有效负载) 。 最后,在工作站上安装了一个Mosquito后门。 新方案如下图所示。
结合使用Metasploit,我们可以假定操作员手动控制过程。 攻击的持续时间相对较短-在尝试进行攻击后的三十分钟内,最后一个后门被重置。
使用的shellcode是Metasploit的典型代表。 它受
shikata_ga_nai编码器的七次迭代保护。 下面的屏幕截图显示了加密和解密的有效负载。
解密后,shellcode在
209.239.115 [。] 91 / 6OHEJ上与C&C服务器通信,该服务器控制其他shellcode的加载。 根据ESET遥测技术,下一步是加载Meterpreter。 该IP地址对应于psychology-blog.ezua [。] Com域,该域自2017年10月起在蚊子运动中使用。
接下来,伪造的Flash安装程序将从Google云端硬盘URL下载合法的Adobe安装程序并运行它,以使用户不会怀疑任何东西。
其他工具
除了新的假安装程序和Meterpreter外,我们还注意到Turla使用了其他工具:
结论
该帖子介绍了过去几个月中Turla蚊子分发活动的演变。 主要的变化是使用流行的渗透测试框架Metasploit作为自定义Mosquito后门程序的第一步。
折衷指标
C&C
•
209.239.115 [。] 91 / 6OHEJ
•
70.32.39 [。] 219 / n2DE3
链接到合法的Flash安装程序
•
drive.google [。] Com / uc?Authuser = 0&id = 1s4kyrwa7gCH8I5Z1EU1IZ_JaR48A7UeP&export =下载