Regel der Woche: Turla-Gruppe

[post-views]
Mai 29, 2020 · 2 min zu lesen
Regel der Woche: Turla-Gruppe

Die Turla APT ist seit 2004 aktiv und führt Cyber-Spionagekampagnen durch, die auf eine Vielzahl von Branchen abzielen, darunter Regierung, Botschaften, Militär, Bildung, Forschung und Pharmaunternehmen in Europa, dem Nahen Osten, Asien und Südamerika. Dies ist einer der fortschrittlichsten von Russland staatlich unterstützten Bedrohungsakteure, bekannt für seine ausgeklügelten Werkzeuge und ungewöhnlichen Ideen während der Angriffe. Die Gruppe ist berüchtigt für resonante Operationen und fortschrittliche Schadsoftware, wie die Übernahme der Infrastruktur der iranischen APT-Gruppe zur Durchführung ihrer eigenen Operation oder LightNeuron-Backdoor , die den gesamten Datenverkehr auf dem infizierten Server kontrolliert, einschließlich E-Mail-Abfang. 

 

Watering-Hole-Angriffe und Spear-Phishing-Kampagnen sind die charakteristischsten Merkmale dieser Gruppe. Das Arsenal der Gruppe zielt darauf ab, Windows-Systeme zu kompromittieren, aber sie verwenden auch Werkzeuge gegen macOS- und Linux-Geräte. Die TTPs (Taktiken, Techniken und Prozeduren) von Turla sind weitgehend gleich geblieben, daher können Sie mehr über die von dieser Gruppe verwendeten Techniken und Werkzeuge im Abschnitt MITRE ATT&CK auf dem Threat Detection Marketplace erfahren: https://tdm.socprime.com/att-ck/

Exklusive Bedrohungsjagdregel von Ariel Millahuel basiert auf den neuesten beobachteten Kampagnen von Turla APT und hilft, die Aktivitäten der Gruppe auf Windows-Systemen aufzudecken: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Umgehung der Verteidigung, Ausführung, Beharrlichkeit, Privilegieneskalation

Techniken: Registrierung modifizieren (T1112), Geplanter Task (T1056), Benutzerausführung (T1204) 


Weitere Erkennungsinhalte, um verschiedene von Turla APT verwendete Werkzeuge zu erkennen: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.