Хакеры Turla сменили тактику

Эксперты антивирусной компании ESET обнаружили новые инструменты в арсенале кибершпионской группы Turla. Теперь хакеры используют для заражения целевых устройств Metasploit — легитимную платформу для тестирования на проникновение.

Turla — известная кибершпионская группа, действующая не менее десяти лет, ее первое упоминание датировано 2008 годом и связано со взломом Министерства обороны США. Впоследствии с группой связывали многочисленные инциденты информационной безопасности — атаки на органы государственного управления и стратегические отрасли, в том числе на оборонную промышленность.

В январе 2018 года ESET опубликовала первый отчет о новой киберкампании Turla. Хакеры распространяли Mosquito, бэкдор собственной разработки, с помощью поддельного установщика Adobe Flash Player. Потенциальные жертвы группы — сотрудники консульств и посольств стран Восточной Европы.

Как отмечают эксперты, данная кампания продолжается, однако злоумышленники сменили тактику, чтобы избежать обнаружения. С марта 2018 года хакеры Turla отказались от собственных инструментов на первом этапе атаки и используют вместо них платформу с открытым исходным кодом Metasploit.

Фальшивый установщик Adobe Flash Player выполняет на целевом устройстве шеллкод Metasploit, после чего сбрасывает или загружает с Google Drive легитимный установщик Flash. Затем шеллкод загружает Meterpreter — типичную полезную нагрузку Metasploit, позволяющую злоумышленнику управлять скомпрометированной системой. Наконец, на рабочую станцию загружается Mosquito, собственный бэкдор атакующих. Продолжительность такой атаки составляет порядка тридцати минут.

Как отмечают эксперты ESET, метод не является новаторским, однако это существенный сдвиг в тактике, технике и процедурах кибергруппы.

* * *