• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Turla Mosquito: переход на более общие инструменты

wumbo12

Пользователь
Сообщения
138
Симпатии
57
#1
Турла - пресловутая шпионская группа, которая действует не менее десяти лет. Он появился в 2008 году, когда Турла нарушил Министерство обороны США [1]. С тех пор произошли многочисленные инциденты с безопасностью, связанные с участием Turla в отношении нескольких правительств и чувствительных предприятий, таких как оборонная промышленность [2].
Наша белая статья за январь 2018 года [3] стала первым публичным анализом кампании Turla под названием Mosquito. Мы также опубликовали показатели компромисса [4]. С тех пор кампания оставалась очень активной, и нападавшие были заняты, изменяя свою тактику, чтобы оставаться максимально скрытыми.
Начиная с марта 2018 года, мы наблюдали значительные изменения в кампании: теперь она использует платформу разработки с открытым исходным кодом Metasploit, прежде чем отбрасывать пользовательский брандмауэр Mosquito. Впервые Turla использует общие инструменты. Раньше мы видели группу, использующую паровые самосвалы с открытым исходным кодом, такие как Mimikatz. Однако, насколько нам известно, Turla впервые использовала Metasploit как бэкдор первой стадии, вместо того, чтобы полагаться на один из своих собственных инструментов, таких как Skipper [5].
Распределение
Как описано в нашем раннем анализе [3], типичным вектором компрометации кампании Mosquito по-прежнему является фальшивый установщик Flash, на самом деле устанавливающий бэкдор Turla и законный Adobe Flash Player. Типичными целями являются все еще посольства и консульства в Восточной Европе.
Мы показали, что компромисс происходит, когда пользователь загружает установщик Flash из get.adobe.com через HTTP. Трафик был перехвачен на узле между конечным автоматом и серверами Adobe, что позволило операторам Turla заменить законный исполняемый файл Flash на троянизированную версию. На следующем рисунке показаны различные точки, в которых можно теоретически перехватить трафик. Обратите внимание, что мы считаем пятую возможность быть исключенной, так как, насколько нам известно, Adobe / Akamai не был скомпрометирован.

Несмотря на то, что впоследствии мы не смогли обнаружить перехват трафика, мы обнаружили новый исполняемый файл, который все еще выдал себя за установщик Flash и получил имяflashplayer28_xa_install.exe . Таким образом, мы считаем, что тот же метод первоначального компромисса все еще используется.
Анализ
В начале марта 2018 года, в рамках нашего регулярного отслеживания деятельности Turla, мы наблюдали некоторые изменения в кампании Mosquito. Несмотря на то, что они не использовали новаторские методы, это значительный сдвиг в тактике, методах и процедурах Turla (TTP).
Раньше цепочкой компромиссов был фальшивый установщик Flash, бросающий загрузчик и основной бэкдор. На следующем рисунке представлен процесс.

В последнее время мы наблюдали изменение способа удаления последнего бэкдора. Кампания Turla по-прежнему зависит от фальшивого установщика Flash, но вместо того, чтобы напрямую удалять две вредоносные библиотеки DLL, он выполняет командный код Metasploit и удаляет или загружает с Google Диска законный установщик Flash. Затем шеллкод загружает Meterpreter, который является типичной полезной нагрузкой Metasploit [6], позволяя злоумышленнику управлять уязвимой машиной. Наконец, машина может получить типичный брандмауэр москитов. На следующем рисунке представлен новый процесс.

Поскольку Metasploit используется, мы можем также предположить, что оператор управляет процессом эксплуатации вручную. Временные рамки атаки были относительно короткими, поскольку последний бэкдор был сброшен в течение тридцати минут после начала компромиссной попытки.
Шелковой код является типичным шеллкодом Metasploit, защищенным с помощью кодера shikata_ga_nai[7] с семью итерациями. На следующих снимках экрана показана кодированная и декодированная полезная нагрузка.


После того, как шеллкод декодируется, он связывается со своим C & C по адресу https: //209.239.115 [.] 91 / 6OHEJ, который направляет загрузку дополнительного шеллкода. Основываясь на нашей телеметрии, мы определили следующий этап как Meterpreter. Этот IP-адрес уже известен как ранее зарегистрированный домен C & C Mosquito, psychology-blog.ezua [.] Com, разрешающий его в октябре 2017 года.
Наконец, поддельный установщик Flash загружает законный установщик Adobe с URL-адреса Google Диска и выполняет его, чтобы усыпить пользователя, задумавшись, что все прошло правильно.
Дополнительные инструменты
В дополнение к новым фальшивым установщикам Flash и Meterpreter мы наблюдали использование нескольких других инструментов.
  • Пользовательский исполняемый файл, который содержит только shell-код Metasploit. Это используется для поддержания доступа к сеансу Meterpreter. Он сохраняется в C: \ Users \ <имя_пользователя> \ AppData \ Роуминг \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ msupdateconf.exe , предоставляя исполняемое сохранение.
  • Другой пользовательский исполняемый файл, используемый для выполнения сценариев PowerShell.
  • Брандмауэр Mosquito JScript, который использует Google Apps Script в качестве своего сервера C & C.
  • Эскалация привилегий с использованием модуля Metasploit ext_server_priv.x86.dll [8].
Вывод
В этом посте мы представили эволюции кампании Turla Mosquito за последние несколько месяцев. Главным изменением, которое мы наблюдали, было использование Metasploit, проекта тестирования проникновения с открытым исходным кодом, в качестве первого этапа для пользовательского брандмауэра-москита. Это может быть полезной информацией для защитников, выполняющих ответные действия при атаках с участием Turla.
По любым вопросам или для подачи образцов, связанных с предметом, свяжитесь с нами по адресу угрозыintel@eset.com.
С & С
  • https: [.] //209.239.115 91 / 6OHEJ
  • https: [.] //70.32.39 219 / n2DE3

МНК
Имя файла SHA1 SHA256 Имя обнаружения ESET flashplayer28_xa_install.exe33d3b0ec31bfc16dcb1b1ff82550aa17fa4c07c5f9b83eff6d705c214993be9575f8990aa8150128a815e849c6faee90df14a0eaWin32 / TrojanDownloader.Agent.DWY троянецmsupdateconf.exe114c1585f1ca2878a187f1ce7079154cc60db7f51193033d6526416e07a5f20022cd3c5c79b73e8a33e80f29f9b06cdc3cb12e26Win32 / Turla.DH trojan троянmsupdatesmal.exe994c8920180d0395c4b4eb6e7737961be6108f646868cdac0f06232608178b101ca3a8afda7f31538a165a045b439edf9dadf048Win32 / Turla.DH trojan.

welivesecurity
 
Сверху Снизу