Кибершпионы сменили тактику
Кибершпионская группа Turla начала использовать для заражения целевых устройств Metasploit – легитимную платформу для тестирования на проникновение. Это обнаружили эксперты компании ESET. Первый отчет об активности Turla был опубликован в январе 2018 года. Тогда было выявлено использование группой бэкдора собственной разработки Mosquito, который распространялся при помощи поддельного установщика Adobe Flash Player. Были определены и потенциальные жертвы шпионажа -- сотрудники консульств и посольств стран Восточной Европы.
Теперь, чтобы избежать обнаружения, злоумышленники сменили тактику. С марта 2018 года хакеры Turla отказались от собственных инструментов на первом этапе атаки и используют вместо них платформу с открытым исходным кодом Metasploit. Фальшивый установщик Adobe Flash Player выполняет на целевом устройстве шеллкод Metasploit, после чего сбрасывает или загружает с Google Drive легитимный установщик Flash. Затем шеллкод загружает Meterpreter – типичную полезную нагрузку Metasploit, позволяющую злоумышленнику управлять скомпрометированной системой. Наконец, на рабочую станцию загружается Mosquito, собственный бэкдор атакующих. Продолжительность такой атаки составляет порядка тридцати минут.
Turla – известная кибершпионская группа, действующая не менее десяти лет. Первое упоминание о ней датировано 2008 годом и связано с взломом Министерства обороны США. Впоследствии с группой связывали атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность.