ESET: хакеры Turla меняют тактику
30 мая 2018
Рубрика: Новости.
Автор: .

Эксперты ESET обнаружили новые инструменты в арсенале кибершпионской группы Turla.

Теперь хакеры используют для заражения целевых устройств Metasploit – легитимную платформу для тестирования на проникновение.

Turla – известная кибершпионская группа, действующая не менее десяти лет. Первое упоминание Turla датировано 2008 годом и связано с взломом Министерства обороны США. Впоследствии с группой связывали многочисленные инциденты информационной безопасности – атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность.

В январе 2018 года ESET опубликовала первый отчет о новой киберкампании Turla. Хакеры распространяли Mosquito, бэкдор собственной разработки, с помощью поддельного установщика Adobe Flash Player. Потенциальные жертвы группы – сотрудники консульств и посольств стран Восточной Европы.

Данная кампания продолжается, однако злоумышленники сменили тактику, чтобы избежать обнаружения. С марта 2018 года хакеры Turla отказались от собственных инструментов на первом этапе атаки и используют вместо них платформу с открытым исходным кодом Metasploit. Метод не является новаторским, однако это существенный сдвиг в тактике, технике и процедурах (ТТР) кибергруппы.

Фальшивый установщик Adobe Flash Player выполняет на целевом устройстве шеллкод Metasploit, после чего сбрасывает или загружает с Google Drive легитимный установщик Flash. Затем шеллкод загружает Meterpreter – типичную полезную нагрузку Metasploit, позволяющую злоумышленнику управлять скомпрометированной системой. Наконец, на рабочую станцию загружается Mosquito, собственный бэкдор атакующих. Продолжительность такой атаки составляет порядка тридцати минут.

Источник: пресс-релиз компании

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте