Turla APT opera dal 2004 conducendo campagne di cyberspionaggio mirate a una gamma di settori tra cui governo, ambasciate, militare, istruzione, ricerca e aziende farmaceutiche in Europa, Medio Oriente, Asia e Sud America. Questo è uno dei più avanzati attori di minacce sponsorizzati dallo stato russo, noto per i suoi strumenti sofisticati e idee insolite durante gli attacchi. Il gruppo è noto per operazioni risonanti e malware avanzati, come il dirottamento dell’infrastruttura del gruppo APT iraniano per condurre la propria operazione o LightNeuron backdoor che controlla completamente il traffico sul server infetto, incluso l’intercettamento delle email.
Gli attacchi di watering hole e le campagne spearphishing sono le più caratteristiche di questo gruppo. L’arsenale del gruppo è mirato a compromettere i sistemi Windows, ma utilizzano anche strumenti contro macOS e macchine Linux. Le TTP di Turla sono in gran parte invariate, quindi puoi saperne di più sulle tecniche e strumenti utilizzati da questo gruppo nella sezione MITRE ATT&CK su Threat Detection Marketplace: https://tdm.socprime.com/att-ck/
Regola esclusiva per la caccia alle minacce di Ariel Millahuel è basata sulle ultime campagne osservate di Turla APT e aiuta a scoprire l’attività del gruppo sui sistemi Windows: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Evasione della Difesa, Esecuzione, Persistenza, Escalation dei Privilegi
Tecniche: Modifica del Registro (T1112), Attività Pianificata (T1056), Esecuzione da Parte dell’Utente (T1204)
Ulteriori contenuti di rilevamento per individuare vari strumenti utilizzati da Turla APT: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla