IT ExpertМир технологийНовинки

Кибершпионы сменили тактику

| 30.05.2018

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Кибершпионы сменили тактику

Кибершпионская группа Turla начала использовать для заражения целевых устройств Metasploit – легитимную платформу для тестирования на проникновение. Это обнаружили эксперты компании ESET. Первый отчет об активности Turla был опубликован в январе 2018 года. Тогда было выявлено использование группой бэкдора собственной разработки Mosquito, который распространялся при помощи поддельного установщика Adobe Flash Player. Были определены и потенциальные жертвы шпионажа -- сотрудники консульств и посольств стран Восточной Европы.

Теперь, чтобы избежать обнаружения, злоумышленники сменили тактику. С марта 2018 года хакеры Turla отказались от собственных инструментов на первом этапе атаки и используют вместо них платформу с открытым исходным кодом Metasploit. Фальшивый установщик Adobe Flash Player выполняет на целевом устройстве шеллкод Metasploit, после чего сбрасывает или загружает с Google Drive легитимный установщик Flash. Затем шеллкод загружает Meterpreter – типичную полезную нагрузку Metasploit, позволяющую злоумышленнику управлять скомпрометированной системой. Наконец, на рабочую станцию загружается Mosquito, собственный бэкдор атакующих. Продолжительность такой атаки составляет порядка тридцати минут.

img

Turla – известная кибершпионская группа, действующая не менее десяти лет. Первое упоминание о ней датировано 2008 годом и связано с взломом Министерства обороны США. Впоследствии с группой связывали атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность.

Мероприятия

25.02.2019 — 26.02.2019
Teamlead Conf

Москва, Инфопространство

21.03.2019 — 22.03.2019
ИндаСофт-2019

Москва, ул. Лесная, д. 7, корп. А, БЦ «Белые Сады»

05.04.2019
Moscow Python Conf

Москва, Инфопространство

29.05.2019 — 31.05.2019
IT & Security Forum

Казань, ГРК Корстон