Хакерская группировка Turla, предположительно связанная с российским правительством, продолжает заниматься кибершпионажем, добавляя новые инструменты в свой арсенал. В январе текущего года группировка распространяла бэкдор под видом обновления Adobe Flash, однако начиная с марта 2018 года эксперты ESET зафиксировали значительные изменения в кампании. Теперь хакеры используют популярный фреймворк с открытым исходным кодом Metasploit для распространения бэкдора Mosquito.
По словам специалистов, Turla впервые использовала Metasploit в качестве вредоносного ПО первого этапа, вместо того, чтобы и далее полагаться на собственные инструменты.
В ходе вредоносной кампании Mosquito по-прежнему используется фальшивый установщик Adobe Flash, содержащий бэкдор Turla. При загрузке установщика Flash с сайта get.adobe.com по HTTP, атакующие перехватывают трафик и подменяют легитимный установщик на вредоносную версию.

«В последнее время мы наблюдали изменения в способе доставки бэкдора. Кампания Turla по-прежнему полагается на фальшивый установщик Flash, однако вместо того, чтобы напрямую загрузить две вредоносные DLL-библиотеки, он выполняет командный код Metasploit и загружает из Google Диска легитимный установщик Flash. Затем загружается Meterpreter, который является типичной полезной нагрузкой Metasploit, позволяющей злоумышленнику управлять уязвимым устройством. Наконец, на устройство загружается бэкдор Mosquito», — следует из отчета ESET.
Атакующие контролируют процесс эксплуатации вручную с использованием инфраструктуры Metasploit. Сама атака длится сравнительно короткое время — злоумышленники могут доставить Mosquito всего за тридцать минут.
В дополнение к новым фальшивым установщикам Flash и Meterpreter хакеры использовали ряд других инструментов, в том числе исполняемый файл, содержащий shell-код Metasploit; исполняемый файл, используемый для выполнения сценариев PowerShell; бэкдор Mosquito, который использует Google Apps Script в качестве C&C-сервера; модуль Metasploit ext_server_priv.x86.dll, позволяющий добиться повышения привилегий.

Источник: securitylab.ru