Ellustultak a Turla kémek?
A Turla csoport kiberbűnözői az egyedi megoldások fejlesztése helyett inkább átpártoltak a jól ismert Metasploitra.A Turla egy hírhedt kémcsoport, amely már legalább tíz éve tevékenykedik. A csoport először 2008-ban tűnt fel, amikor betört az Egyesült Államok Védelmi Minisztériumának rendszerébe. Azóta már számos további jelentős támadás elkövetője volt.
2018 márciusától kezdődően az ESET szakemberei változást figyeltek meg a Turla éppen aktuális ténykedésében: a csoport elkezdte használni a nyílt forráskódú Metasploit keretrendszert a Mosquito hátsó kapu telepítéséhez.
Nem ez volt az első eset, amikor a Turla szabadon elérhető eszközöket használt. A múltban például a csoport olyan nyílt forráskódú jelszólopó programokat is alkalmazott már, mint amilyen például a Mimikatz. Ugyanakkor az ESET szakemberei szerint ez volt az első alkalom, amikor a Turla a Metasploitot elsődleges hátsó ajtóként vetette be, ahelyett, hogy saját eszközeire támaszkodott volna.
Mi változott?
A korábbi, Mosquito nevű alvilági kampány központjában egy hamis Flash telepítő állt, amely a Turla backdoor programja mellett a hivatalos Flash Playert is telepítette az áldozatok gépére. A támadás akkor fejtette ki hatását, amikor a felhasználó http-kapcsolaton keresztül letöltötte a Flash telepítőt a get.adobe.com címről. Ekkor a felhasználó és az Adobe szerverei között zajló hálózati forgalmat megszakítva a csoport észrevétlenül kicserélte a hivatalos telepítőt egy trójai programra.
Nemrégen az ESET szakemberei azt vették észre, hogy ez a fajta telepítési módszer megváltozott. Noha a Turla még mindig egy hamis Flash telepítőre támaszkodik, de most egy Metasploit kódot futtat le. Ezután jön a Meterpreter, aminek révén a támadó átveheti a célkeresztbe állított számítógép feletti vezérlést.
Forrás: ESET
A biztonsági cég szerint a fenti folyamat jól mutatja a kiberbűnözők eszközhasználatában történő változásokat, amelyek során egyre
inkább általános, nyílt forrású, kész megoldásokra támaszkodnak az egyedi fejlesztésű kódok helyett.
-
A QNAP számos sebezhetőséget szüntetett meg a NAS adattárolói kapcsán.
-
A Microsoft fejlesztői három biztonsági résről számoltak be az Edge kapcsán.
-
A TinyMCE kapcsán XSS-hibákra derült fény.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.