Erkennung von Turla-Aktivitäten: Russische Cyber-Spionagegruppe zielt auf die Ukraine, indem sie das jahrzehntealte USB-verbreitete Andromeda-Malware nutzt, um neuartige Backdoors zu verbreiten

[post-views]
Januar 09, 2023 · 5 min zu lesen
Erkennung von Turla-Aktivitäten: Russische Cyber-Spionagegruppe zielt auf die Ukraine, indem sie das jahrzehntealte USB-verbreitete Andromeda-Malware nutzt, um neuartige Backdoors zu verbreiten

Da sich Malware, die über USB verbreitet wird, zu einem beliebten Vektor für den ersten Zugriff entwickelt, bleiben Cyber-Verteidiger wachsam, um die kritische Infrastruktur der Organisation zu schützen. Cybersecurity-Forscher haben kürzlich bösartige Aktivitäten der mit Russland in Verbindung stehenden Cyber-Espionage-Gruppe beobachtet, die verfolgt wird als Turla APT durch Nutzung der veralteten Andromeda-Malware, die über USB bereitgestellt wird, neue Backdoors und benutzerdefinierte Aufklärungstools in Cyberangriffen gegen die Ukraine einzusetzen.

Erkennung der Turla (UNC4210) Operation: KopiLuwak und QUIETCANARY, bereitgestellt über eine jahrzehntealte Andromeda-Infrastruktur

Mit den wachsenden Angriffsvolumina, die sich gegen die Ukraine und ihre Verbündeten im Rahmen von Russlands Offensivoperationen an der Cyber-Front richten, schließen sich Verteidiger zusammen, um die Angriffe des Aggressors zu vereiteln. Um Organisationen dabei zu helfen, die bösartigen Aktivitäten der von Russland unterstützten Cyber-Espionage-Gruppe Turla zeitnah zu identifizieren, kuratiert die SOC Prime-Plattform eine Reihe relevanter Sigma-Regeln, die auf MITRE ATT&CK® abgebildet sind. Folgen Sie den untenstehenden Links, um sofortigen Zugriff auf die neu veröffentlichten Sigma-Regeln zu erhalten, die von unseren Threat Bounty-Entwicklern geschrieben wurden, Aykut Gurses and Zaw Min Htun (ZETA), die die neuesten Turla-Angriffe erkennen, die im Rahmen der UNC4210-Gegnerkampagne auf die Ukraine abzielen:

Erkennung von möglicherweise bösartigen Dateien, die durch die QUIETCANARY-Backdoor generiert wurden (via file_event)

Diese Sigma-Regel, entwickelt von Aykut Gurses, erkennt bösartige Dateien, die durch die .NET-basierte QUIETCANARY-Backdoor erstellt wurden, um Daten von kompromittierten Benutzern zu sammeln und zu leaken. Die Regel ist mit 20 SIEM-, EDR- und XDR-Technologien kompatibel und adressiert die Taktik Command and Control mit Encrypted Channel (T1573) als primäre Technik.

Mögliche Ausführung von UNC4210-Aktivitäten durch Erkennung der zugehörigen cmd-Zeile (via process_creation)

Diese Sigma-Regel, geschrieben von Zaw Min Htun (ZETA), erkennt Versuche der Turla-Gruppe, Daten über WinRAR als Teil der berüchtigten UNC4210-Malicious-Operation zu sammeln. Diese Erkennung kann in führenden SIEM-, EDR-, XDR- und Data-Lake-Lösungen wie Snowflake verwendet werden und adressiert die Taktik Execution mit der entsprechenden User Execution (T1204) Technik.

Treten Sie unserem Threat Bounty Programm bei, um Ihre Sigma- und ATT&CK-Expertise zu erweitern, indem Sie Ihren eigenen Erkennungscode beisteuern und die Möglichkeit erhalten, Ihre beruflichen Fähigkeiten zu monetarisieren. 

An vorderster Front des globalen Cyberkriegs steht SOC Prime und bereichert kontinuierlich den Erkennungsstack mit Sigma-Regeln gegen alle TTPs, die von russlandverbundenen Gruppen verwendet werden, um der Ukraine und ihren Verbündeten zu helfen, sich gegen die russische Aggression zu verteidigen. Durch die unten stehenden Links können Sicherheitstechniker auf die Liste der dedizierten verhaltenbasierten Sigma-Regeln zugreifen, die sich auf die UNC4210-Turla-Operation beziehen:

Mögliche Datenkompression zum Zwecke der Exfiltration (via cmdline)

Kompressionsprogramm hat ein ungewöhnliches Verzeichnis durchlaufen (via cmdline)

Mögliche Entdeckung der Systemnetzwerkkonfiguration (via cmdline)

Mögliche Codeausführung über Wuauclt.exe (via cmdline)

LOLBAS Wscript (via process_creation)

Mögliche Aufzählung von Konten oder Gruppen (via cmdline)

Klicken Sie auf die Erkunden Sie Erkennungen -Taste, um zur umfassenden Liste der Sigma-Regeln zu gelangen, die mit relevanten CTI-, MITRE ATT&CK-Referenzen und anderen nützlichen Metadaten angereichert sind, um bestehende und neu auftretende Angriffe durch die Turla-Bedrohungsakteure zu erkennen:

Erkunden Sie Erkennungen

Turla-Gruppenoperation alias UNC4210-Ziel Ukraine: Angriffsanalyse

Seit dem Ausbruch des globalen Cyberkriegs nach Russlands umfassender Invasion in der Ukraine sind Cyber-Verteidiger von der Menge der destruktiven Angriffe überwältigt, die von staatlich geförderten Gruppen des Aggressors gegen die Ukraine und ihre Verbündeten gestartet werden. Die mit Russland in Verbindung stehende Turla-Cyber-Espionage-Gruppe, auch bekannt unter den Spitznamen Iron Hunter, Krypton, Uroburos oder Venomous Bear, zielt hauptsächlich auf Regierungs-, Diplomatie- und Militärorganisationen ab und setzt dabei mehrere Aufklärungstools und angepasste Malware-Varianten ein. Seit Februar 2022 ist Turla mit Cyber-Espionage-Kampagnen gegen die Ukraine verbunden, die sich stark auf Aufklärungsmaßnahmen und die Ausnutzung des Phishing-Angriffsvektors konzentrieren, um Anmeldedaten und andere sensible Daten zu stehlen.

Anfang Herbst 2022 deckten Mandiant-Forscher eine bösartige Operation der Turla APT auf, bekannt als UNC4210, bei der Akteure die veraltete Andromeda-Malware (alias Gamarue) nutzten, um das KopiLuwak-Aufklärungstool und den .NET-basierten Backdoor mit dem Namen QUIETCANARY bereitstellen, der hauptsächlich zur Datenausleitung verwendet wird. Bemerkenswert ist, dass zwei Jahre zuvor, im Jahr 2019, die Turla-Gruppe den JavaScript-basierten KopiLuwak-Trojaner in ihren Cyber-Espionage-Kampagnen gegen Regierungsstellen einsetzte.

Obwohl die UNC4210-Kampagne im September 2022 gestartet wurde, war die angegriffene ukrainische Organisation bereits mit älteren Andromeda-Malware-Varianten infiziert, die auf Dezember 2021 zurückgehen und ein kompromittiertes USB-Laufwerk ausnutzen. Cybersecurity-Forscher enthüllten, dass in dieser UNC4210-Kampagne mindestens drei abgelaufene Andromeda-C2-Domains verwendet wurden, um die genannten Payloads bereitzustellen. Laut der Forschung von Mandiant bleibt Malware, die über USB bereitgestellt wird, ein beliebter Vektor für den ersten Zugriff. Darüber hinaus stellen erneut registrierte Domains ein erhebliches Risiko für infizierte Benutzer dar, da sie es Bedrohungsakteuren ermöglichen, ihren Angriffsbereich durch die Verbreitung weiterer Malware-Varianten und die Kompromittierung einer breiteren Anzahl von Organisationen zu erweitern.

Suchen Sie nach Möglichkeiten, sich proaktiv gegen russlandgebundene Cyberangriffe zu verteidigen und gleichzeitig der Ukraine Hilfe zukommen zu lassen? Erhalten Sie Zugang zu über 500 Sigma-Regeln gegen russische, staatlich gestützte APTs zusammen mit 50 kuratierten Erkennungsalgorithmen Ihrer Wahl mit unserem karitativen #Sigma2SaveLives-Abonnement. Erfahren Sie mehr unter https://my.socprime.com/pricing/.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn 5 min zu lesen Neueste Bedrohungen Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn by Veronika Telychko AI Threat Intelligence 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Telychko CyberLock, Lucky_Gh0$t, und Numero-Erkennung: Hacker setzen gefälschte KI-Tool-Installateure in Ransomware- und Malware-Angriffen ein 7 min zu lesen Neueste Bedrohungen CyberLock, Lucky_Gh0$t, und Numero-Erkennung: Hacker setzen gefälschte KI-Tool-Installateure in Ransomware- und Malware-Angriffen ein by Veronika Telychko
Alle Nachrichten