Doing business in Spain? Interempresas Media is the key
Canales Sectoriales
Tecnologías de la información y comunicación
Mosquito intercepta la descarga legítima de Flash y reemplaza el programa por una versión troyanizada

El grupo de ciberdelincuentes Turla evoluciona su campaña Mosquito para atacar embajadas de forma invisible

Redacción Interempresas25/05/2018

Eset, fabricante de software de seguridad, continua con sus investigaciones sobre el grupo de ciberdelincuentes Turla y sus ataques a través de la campaña Mosquito, que afectan sobre todo a embajadas y consulados del este de Europa. En esta ocasión, el laboratorio de Eset ha observado un cambio significativo en los patrones de comportamiento del grupo: ahora aprovechan las herramientas incluidas en el framework Metasploit antes de lanzar el backdoor personalizado Mosquito.

No es la primera vez que Turla utiliza herramientas genéricas, ya que en el pasado ya utilizaron otras como Mimikatz; sin embargo, es la primera vez, al menos que se sepa, que utilizan Metasploit para conseguir instalar backdoors en la primera fase del ataque, en lugar de confiar en sus propias herramientas, como Skipper.

Quién es Turla

Turla es un equipo de espionaje muy conocido y que ha sido muy activo en los últimos diez años. Se dio a conocer en 2008 cuando consiguió romper las barreras de los sistemas del Departamento de Defensa de EE UU y, desde entonces, no ha dejado de atacar objetivos relacionados con instituciones gubernamentales o la defensa de los mismos.

El pasado mes de enero, Eset publicó un amplio documento en el que se analizaban, por primera vez, las acciones de la campaña conocida como Mosquito. Desde entonces, las actividades de Turla han sido continuas y muy variadas con el objetivo de ser lo más invisibles posible.

foto

Turla ejecuta una 'shellcode' de Metasploit y descarga un instalador Flash legítimo desde Google Drive

La campaña actual

El vector de compromiso de Mosquito sigue siendo un instalador falso de Flash, que descarga tanto el backdoor Turla como el programa legítimo de Adobe. Tal y como ha observado el laboratorio de Eset, los objetivos siguen siendo embajadas y consulados del este de Europa.

La infección se produce cuando el usuario quiere instalar Flash desde la dirección get.adobe.com a través de una conexión http. Los atacantes de Turla interceptan el ejecutable legítimo y lo reemplazan por una versión troyanizada. Según las investigaciones de Eset, es poco probable que los sitios web de Adobe/Akamai hayan sido comprometidos.

Hasta ahora, la campaña Mosquito de Turla utilizaba el instalador de Flash para descargar un programa de subida de archivos y el backdoor principal, junto con la aplicación legítima de Adobe. Sin embargo, ahora, en lugar de descargar las dos librerías DLL maliciosas, ejecuta un 'shellcode' de Metasploit y descarga un instalador Flash legítimo desde Google Drive. Después, el 'shellcode' descarga Meterpreter, una herramienta habitual cuando se utiliza Metasploit, gracias a la cual los atacantes del grupo de ciberdelincuentes Turla pueden controlar la máquina comprometida. De esta manera, el backdoor Mosquito se instala en el sistema comprometido Mosquito, como se ve en la imagen.

El hecho de que se esté utilizando Metasploit hace pensar a los investigadores de Eset que podría existir un operador que esté controlando los exploits de manera manual.

Investigación completa en: https://www.welivesecurity.com/la-es

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.