Die Turla APT ist seit 2004 aktiv und führt Cyber-Spionagekampagnen durch, die auf eine Vielzahl von Branchen abzielen, darunter Regierung, Botschaften, Militär, Bildung, Forschung und Pharmaunternehmen in Europa, dem Nahen Osten, Asien und Südamerika. Dies ist einer der fortschrittlichsten von Russland staatlich unterstützten Bedrohungsakteure, bekannt für seine ausgeklügelten Werkzeuge und ungewöhnlichen Ideen während der Angriffe. Die Gruppe ist berüchtigt für resonante Operationen und fortschrittliche Schadsoftware, wie die Übernahme der Infrastruktur der iranischen APT-Gruppe zur Durchführung ihrer eigenen Operation oder LightNeuron-Backdoor , die den gesamten Datenverkehr auf dem infizierten Server kontrolliert, einschließlich E-Mail-Abfang.
Watering-Hole-Angriffe und Spear-Phishing-Kampagnen sind die charakteristischsten Merkmale dieser Gruppe. Das Arsenal der Gruppe zielt darauf ab, Windows-Systeme zu kompromittieren, aber sie verwenden auch Werkzeuge gegen macOS- und Linux-Geräte. Die TTPs (Taktiken, Techniken und Prozeduren) von Turla sind weitgehend gleich geblieben, daher können Sie mehr über die von dieser Gruppe verwendeten Techniken und Werkzeuge im Abschnitt MITRE ATT&CK auf dem Threat Detection Marketplace erfahren: https://tdm.socprime.com/att-ck/
Exklusive Bedrohungsjagdregel von Ariel Millahuel basiert auf den neuesten beobachteten Kampagnen von Turla APT und hilft, die Aktivitäten der Gruppe auf Windows-Systemen aufzudecken: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Umgehung der Verteidigung, Ausführung, Beharrlichkeit, Privilegieneskalation
Techniken: Registrierung modifizieren (T1112), Geplanter Task (T1056), Benutzerausführung (T1204)
Weitere Erkennungsinhalte, um verschiedene von Turla APT verwendete Werkzeuge zu erkennen: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla