El grupo de espionaje Turla recrudece sus ataques a embajadas y consulados

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

El laboratorio de ESET ha observado un cambio significativo en los patrones de comportamiento del grupo Turla, un equipo de espionaje muy conocido y que ha sido muy activo en los últimos diez años. Se dio a conocer en 2008 cuando consiguió romper las barreras de los sistemas del Departamento de Defensa de EEUU y, desde entonces, no ha dejado de atacar objetivos relacionados con instituciones gubernamentales o la defensa de los mismos.

Según ESET, Turla está llevando a cabo ataques a través de la campaña Mosquito, que afectan sobre todo a embajadas y consulados del este de Europa. Ahora los delincuentes aprovechan las herramientas incluidas en el framework Metasploit antes de lanzar el backdoor personalizado Mosquito. “Es cierto que no es la primera vez que Turla utiliza herramientas genéricas, ya que en el pasado ya utilizaron otras como Mimikatz. Sin embargo, es la primera vez, al menos que se sepa, que utilizan Metasploit para conseguir instalar backdoors en la primera fase del ataque, en lugar de confiar en sus propias herramientas, como Skipper”, dice la firma de seguridad.

La campaña actual
El vector de compromiso de Mosquito sigue siendo un instalador falso de Flash, que descarga tanto el backdoor Turla como el programa legítimo de Adobe. Según el laboratorio de ESET, los objetivos siguen siendo embajadas y consulados del este de Europa.

La infección se produce cuando el usuario quiere instalar Flash desde la dirección get.adobe.com a través de una conexión http. Los atacantes de Turla interceptan el ejecutable legítimo y lo reemplazan por una versión troyanizada. Según las investigaciones de ESET, es poco probable que los sitios web de Adobe/Akamai hayan sido comprometidos.

Hasta ahora, la campaña Mosquito de Turla utilizaba el instalador de Flash para descargar un programa de subida de archivos y el backdoor principal, junto con la aplicación legítima de Adobe. Sin embargo, ahora, en lugar de descargar las dos librerías DLL maliciosas, ejecuta una shellcode de Metasploit y descarga un instalador Flash legítimo desde Google Drive. Después, el shellcode descarga Meterpreter, una herramienta habitual cuando se utiliza Metasploit, gracias a la cual los atacantes del grupo de ciberdelincuentes Turla pueden controlar la máquina comprometida. De esta manera, el backdoor Mosquito se instala en el sistema comprometido Mosquito (ver imagen).

“El hecho de que se esté utilizando Metasploit hace pensar a los investigadores de ESET que podría existir un operador que esté controlando los exploits de manera manual”, indica la firma en un comunicado.