Turla APT ha estado operando desde 2004 llevando a cabo campañas de ciberespionaje dirigidas a una variedad de industrias, incluidas gobierno, embajadas, militar, educación, investigación y compañías farmacéuticas en Europa, Medio Oriente, Asia y América del Sur. Este es uno de los actores de amenazas más avanzados patrocinados por el estado ruso, conocido por sus herramientas sofisticadas e ideas inusuales durante los ataques. El grupo es notorio por operaciones resonantes y malware avanzado, como el secuestro de la infraestructura del grupo APT iraní para llevar a cabo su propia operación o LightNeuron backdoor que controla completamente el tráfico en el servidor infectado, incluida la intercepción de correos electrónicos.
Los ataques de watering hole y las campañas de spearphishing son los más característicos de este grupo. El arsenal del grupo está dirigido a comprometer sistemas Windows, pero también utilizan herramientas contra máquinas macOS y Linux. Las TTP de Turla se mantienen en gran medida sin cambios, por lo que puedes aprender más sobre las técnicas y herramientas utilizadas por este grupo en la sección MITRE ATT&CK del Mercado de Detección de Amenazas: https://tdm.socprime.com/att-ck/
Regla de caza de amenazas exclusiva por Ariel Millahuel se basa en las últimas campañas observadas de Turla APT y ayuda a descubrir la actividad del grupo en sistemas Windows: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Evasión de Defensa, Ejecución, Persistencia, Escalación de Privilegios
Técnicas: Modificar Registro (T1112), Tarea Programada (T1056), Ejecución de Usuario (T1204)
Más contenido de detección para identificar diversas herramientas utilizadas por Turla APT: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla