Regel der Woche: Turla-Gruppe

Neueste Bedrohungen

Mai 29, 2020

2 min zu lesen

Regel der Woche: Turla-Gruppe

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Die Turla APT ist seit 2004 aktiv und führt Cyber-Spionagekampagnen durch, die auf eine Vielzahl von Branchen abzielen, darunter Regierung, Botschaften, Militär, Bildung, Forschung und Pharmaunternehmen in Europa, dem Nahen Osten, Asien und Südamerika. Dies ist einer der fortschrittlichsten von Russland staatlich unterstützten Bedrohungsakteure, bekannt für seine ausgeklügelten Werkzeuge und ungewöhnlichen Ideen während der Angriffe. Die Gruppe ist berüchtigt für resonante Operationen und fortschrittliche Schadsoftware, wie die Übernahme der Infrastruktur der iranischen APT-Gruppe zur Durchführung ihrer eigenen Operation oder LightNeuron-Backdoor , die den gesamten Datenverkehr auf dem infizierten Server kontrolliert, einschließlich E-Mail-Abfang. 

 

Watering-Hole-Angriffe und Spear-Phishing-Kampagnen sind die charakteristischsten Merkmale dieser Gruppe. Das Arsenal der Gruppe zielt darauf ab, Windows-Systeme zu kompromittieren, aber sie verwenden auch Werkzeuge gegen macOS- und Linux-Geräte. Die TTPs (Taktiken, Techniken und Prozeduren) von Turla sind weitgehend gleich geblieben, daher können Sie mehr über die von dieser Gruppe verwendeten Techniken und Werkzeuge im Abschnitt MITRE ATT&CK auf dem Threat Detection Marketplace erfahren: https://tdm.socprime.com/att-ck/

Exklusive Bedrohungsjagdregel von Ariel Millahuel basiert auf den neuesten beobachteten Kampagnen von Turla APT und hilft, die Aktivitäten der Gruppe auf Windows-Systemen aufzudecken: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Umgehung der Verteidigung, Ausführung, Beharrlichkeit, Privilegieneskalation

Techniken: Registrierung modifizieren (T1112), Geplanter Task (T1056), Benutzerausführung (T1204) 


Weitere Erkennungsinhalte, um verschiedene von Turla APT verwendete Werkzeuge zu erkennen: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen