Casa > cibernético Notícias > Turla Hackers Empregam Mosquite Backdoor Contra Diplomatas
CYBER NEWS

Hackers da Turla empregam backdoor contra mosquitos contra diplomatas

Imagem de hackers Turla

Os Turla Hackers são um famoso coletivo criminoso amplamente conhecido por executar ataques complexos contra grandes empresas e instituições governamentais. Especialistas em segurança detectaram que eles são responsáveis por uma campanha de hackers em larga escala contra embaixadas e consulados, principalmente na Europa, usando técnicas avançadas de manipulação de rede.

Os primeiros sinais de alerta: Turla Hackers suspeitos de um ataque perigoso

Pesquisadores de segurança de computadores foram alertados sobre um ataque combinado de hackers. A análise aprofundada mostra que o coletivo é provavelmente o culpado provável, pois uma cadeia de infecção muito complexa é usada contra alvos de alto perfil. A maioria das vítimas pretendidas são diplomatas baseados principalmente na Europa. Os operadores usaram cópias modificadas do Adobe Flash Player para instalar um backdoor perigoso chamado Mosquito que é atribuído ao grupo. Durante a inicialização do malware, ele se conecta a servidores de comando e controle anteriormente associados ao grupo Turla em campanhas anteriores.

A análise de comportamento também corresponde às assinaturas de outras famílias de malware atribuídas ao grupo de hackers Turla. Isso inclui não apenas uma sequência de execução de processo semelhante, mas também componentes avançados, como a ofuscação de strings e o componente de resolução de API. Isso conclui que os hackers continuam suas tentativas de invasão contra alvos de alto perfil mais uma vez.

Os Turla Hackers empregam manipulação de rede e servidores da Adobe durante a infecção

Os hackers do Turla criaram cópias falsificadas do Adobe Flash Player que não é muito diferente de algumas de suas campanhas anteriores. No entanto, em vez de usar táticas familiares como mensagens de e-mail (com ou sem técnicas de engenharia social) e sites de download falsificados, os arquivos de malware parecem ser baixados diretamente dos servidores da Adobe. Como resultado, os serviços de detecção de intrusão e os administradores de usuários podem ser enganados para permitir que a instalação continue.

Após uma inspeção mais aprofundada, descobriu-se que os hackers não usaram a técnica de manipulação de campo do host. Os criminosos manipulam este campo para apontar para um servidor controlado por hackers. No entanto, durante a análise aprofundada, foi revelado que este não era o caso e os arquivos de malware realmente parecem estar disponíveis nos servidores da Adobe. A equipe de segurança da empresa, no entanto, afirma que nenhuma intrusão foi detectada.

Existem várias explicações possíveis que estão sendo consideradas:

  • Servidor DNS desonesto — Os endereços IP respondem aos servidores reais usados pela Adobe, então essa sugestão foi rapidamente descartada.
  • Homem no meio (MITM) Ataque — Os hackers do Turla podem utilizar uma máquina comprometida encontrada na rede das vítimas pretendidas. Usando uma técnica de falsificação ARP, os criminosos podem manipular o tráfego em tempo real e redirecioná-lo para outros hosts perigosos. Durante a investigação aprofundada dos ataques em andamento, nenhuma dessas ferramentas foi detectada no código e nos padrões de comportamento. Se esse método for empregado, uma infecção deve ter sido feita antes do lançamento real da campanha.
  • Dispositivo de gateway hackeado — Neste caso, os criminosos invadem os dispositivos de gateway (routers, servidores proxy e switches de rede) que impactam um grande número de vítimas. Tais ataques dão ao Turla a capacidade de revisar e tráfego de entrada e saída entre a rede local e a Internet.
  • Intrusão no nível do ISP — De maneira semelhante, o grupo Turla pode modificar a intrusão nos servidores dos próprios provedores de serviços de Internet (ISPs). A maioria dos alvos estão localizados em países da ex-URSS e usam pelo menos quatro provedores diferentes. Esse cenário seria provável se os hackers tivessem a capacidade de monitorar o tráfego de rede em diferentes países ao mesmo tempo.
  • Seqüestro de BGP — O último cenário possível é um ataque de sequestro de BGP. Isso pode ser feito usando um sistema autônomo para anunciar um prefixo que pertence ao site da Adobe. Isso permitiria que o tráfego de rede fosse roteado para sites controlados por hackers. O grupo afetado seria os usuários localizados perto dos locais perigosos. No entanto, isso é altamente improvável, pois existem vários serviços que monitoram constantemente essas práticas de malware.

Efetivamente, qualquer abuso de rede pode resultar em infecções por malware com cargas arbitrárias. A campanha de ataque em andamento parece levar principalmente a uma infecção com um backdoor perigoso conhecido como Mosquito.

Um comportamento alternativo também foi observado em que o instalador do Adobe Flash fornece dois backdoor separados baseados em JAvaScript em vez do malware Mosquito. Eles são colocados em uma pasta do sistema usada pela Microsoft e são chamados google_update_chcker.js e local_update_checker.js.

A primeira instância carrega um aplicativo da web hospedado no Google Apps Script. A aplicação é feita de tal forma que espera uma resposta codificada em base 64. Uma vez que o comando necessário é enviado de volta, o conteúdo é decodificado usando uma função integrada. Presume-se que seu objetivo seja baixar ameaças adicionais à máquina. Em outros casos, também pode ser usado para executar comandos arbitrários. A análise de código mostra que, como o Mosquito, ele pode ser instalado como uma ameaça persistente adicionando um valor de registro.

O segundo malware JavaScript lê o conteúdo de um arquivo localizado em uma pasta do sistema e executa seu conteúdo. Esses vírus são descartados junto com seus arquivos de configuração associados. Eles são extremamente perigosos, pois seu comportamento pode ser alterado dependendo de cada host infectado. Ele pode adicionar um valor de registro para atingir um estado de execução persistente.

Story relacionado: Código malware que nunca fica velho, Versão 2017

O Mosquito Backdoor é a arma do Turla Hackers

A análise aprofundada da principal carga útil utilizada pelo grupo Turla é um backdoor chamado Mosquito. Os analistas observam que esta é uma atualização de uma ameaça mais antiga que tem sido usada desde 2009. Ele está disfarçado como um instalador do Adobe Flash Player e pode enganar a maioria dos usuários de computador, pois contém assinaturas legítimas da Adobe. O código malicioso real é fortemente ofuscado (escondido) usando um mecanismo de criptografia personalizado. Depois que a carga útil do malware é implantada, ela segue um padrão de comportamento predefinido.

Após a infecção, o backdoor do Mosquito se descriptografa e solta dois arquivos nas pastas do sistema. Os analistas observam que o Turla inclui um técnica de proteção furtiva que os pesquisadores de strings associadas ao software de segurança. Em versões futuras, ele também pode ser usado contra outras ferramentas, como máquinas virtuais, caixas de areia e ambientes de depuração. O malware Mosquito prossegue configurando um estado persistente de execução através de uma chave de registro de execução ou seqüestro de COM. Isto também é seguido por uma Registro do Windows modificação. Como resultado, o código perigoso é executado toda vez que o computador é iniciado.

A obtendo informações fase segue. O malware tem a capacidade de extrair informações confidenciais sobre o sistema e enviá-las aos hackers por meio de um domínio da Adobe. Alguns dos dados de exemplo incluem o ID exclusivo da amostra, o nome de usuário dos usuários vítimas ou a tabela ARP da rede.

Para enganar as vítimas a pensar que é um instalador legítimo, uma instância de configuração real do Adobe Flash é baixada e executada. Duas fontes foram encontradas identificadas nas amostras capturadas - o próprio servidor de downloads da Adobe e um link do Google Drive.

Antes que o código backdoor principal seja executado, o processo de configuração cria uma conta administrativa separada chamada Assistente de Ajuda ou AjudaAssistente tendo a senha “sysQ!123”. O valor do sistema LocalAccountTokenFilterPolicy está configurado para 1 (Verdade) que permite administração remota. Os especialistas em segurança revelam que isso pode ser usado em conjunto com operações de acesso remoto feitas pelos criminosos.

A Invenção Turla Hackers - Capacidades do Mosquito Backdoor

O código backdoor principal usa valores de registro do Windows criptografados usando um algoritmo personalizado para configurar a si mesmo. Os hackers do Turla agruparam um abrangente gravador de arquivos de log. Os analistas observam que ele grava um carimbo de hora para cada entrada de log. Isso é altamente incomum para um backdoor como este e provavelmente é usado pelos criminosos para rastrear as infecções.

Como outros backdoors semelhantes, ele se conecta a um comando e controle de controle de hackers (C&C) servidor para relatar quaisquer interações do computador. Isso é feito em um período aleatório de tempo, uma técnica que evita varreduras baseadas em heurística. Os hackers podem usá-lo para enviar comandos arbitrários e causar mais danos aos hosts infectados. O user agent está configurado para aparecer como Google Chrome (versão 41).

Uma lista de instruções predefinidas para facilitar a programação é empacotada no backdoor. A lista inclui as seguintes entradas:

  • Baixar e executar um arquivo.
  • Lançamento do processo.
  • Excluir arquivo.
  • Exfiltração de arquivo.
  • Armazenar dados no registro.
  • Execute o comando e envie a saída para C&Servidores C.
  • Adicione um C&URL do servidor C.
  • Excluir um C&URL do servidor C.
Story relacionado: Milhões de computadores infectados com Miners criptomoeda

Ataque contínuo de hackers de Turla: Como combatê-los

No momento, o backdoor do Mosquito ainda está em andamento e, à medida que as investigações de segurança continuam procurando as origens das intrusões perigosas, o número de alvos em potencial continua a aumentar.. O coletivo criminoso Turla é amplamente conhecido por ser capaz de invadir alvos de alto perfil, muitas de suas vítimas são instituições governamentais ou grandes empresas internacionais. Os ataques de engenharia social são notáveis por sua complexidade, o analista também observa que os ataques avançados relacionados à rede são cuidadosamente planejados para evitar todas as formas de análise e detecção de intrusão.

Como as assinaturas são conhecidas do público em geral, aconselhamos os usuários de computadores a verificar seus sistemas em busca de infecções por malware.

Baixar

Remoção de Malware Ferramenta


digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunters

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo