Turla change de tactique de distribution de la porte dérobée finale Mosquito

Turla est un groupe russe de cyber-espionnage APT actif depuis au moins 2007. Il est aussi connu sous le nom de Waterbug, Venomous Bear et KRYPTON. Turla cible des organisations gouvernementales et des entreprises privées. La liste des victimes impactées par ce groupe comprend la  société de défense suisse RUAG, le département d'État américain et le commandement central américain. L'arsenal de Turla est composé d'outils de piratage sophistiqués et de logiciels malveillants suivis comme Turla (rootkit Snake et Uroburos), Epic Turla (Wipbot et Tavdig) et Gloog Turla.

Récemment, la tactique utilisée pour la distribution de la porte dérobée finale a changé. La campagne de Turla repose toujours sur un faux programme d'installation Flash. Cependant, au lieu d'installer directement deux DLL malveillantes, elle exécute un shellcode Metasploit et copie, ou télécharge depuis Google Drive, un installateur Flash légitime. Ensuite, le shellcode télécharge depuis le C&C (Command & Control – serveur central contrôlant un réseau de machines zombies) un Meterpreter, qui est une charge utile Metasploit, permettant à l'attaquant de contrôler la machine compromise. Ensuite, la machine peut enfin recevoir la porte dérobée Mosquito.

Les experts ont remarqué qu'en plus du nouveau faux installateur Flash et de Meterpreter, les pirates utilisaient de nombreux autres outils, notamment:

  • Un exécutable personnalisé qui contient uniquement le shellcode Metasploit. Ceci est utilisé pour maintenir l'accès à une session Meterpreter. Il est enregistré dans C: \ Users \ <nom d'utilisateur> \ AppData \ Roaming \ Microsoft \ Windows \ Menu Démarrer \ Programmes \ Startup \ msupdateconf.exe, en accordant la persistance de l'exécutable.
  • Un exécutable personnalisé utilisé pour exécuter des scripts PowerShell.
  • La porte dérobée Mosquito JScript qui utilise Google Apps Script comme serveur de commande et contrôle.
  • Une élévation de privilèges à l'aide du module Metasploit ext_server_priv.x86.dll