Regla de la Semana: Grupo Turla

[post-views]
mayo 29, 2020 · 2 min de lectura
Regla de la Semana: Grupo Turla

Turla APT ha estado operando desde 2004 llevando a cabo campañas de ciberespionaje dirigidas a una variedad de industrias, incluidas gobierno, embajadas, militar, educación, investigación y compañías farmacéuticas en Europa, Medio Oriente, Asia y América del Sur. Este es uno de los actores de amenazas más avanzados patrocinados por el estado ruso, conocido por sus herramientas sofisticadas e ideas inusuales durante los ataques. El grupo es notorio por operaciones resonantes y malware avanzado, como el secuestro de la infraestructura del grupo APT iraní para llevar a cabo su propia operación o LightNeuron backdoor que controla completamente el tráfico en el servidor infectado, incluida la intercepción de correos electrónicos. 

 

Los ataques de watering hole y las campañas de spearphishing son los más característicos de este grupo. El arsenal del grupo está dirigido a comprometer sistemas Windows, pero también utilizan herramientas contra máquinas macOS y Linux. Las TTP de Turla se mantienen en gran medida sin cambios, por lo que puedes aprender más sobre las técnicas y herramientas utilizadas por este grupo en la sección MITRE ATT&CK del Mercado de Detección de Amenazas: https://tdm.socprime.com/att-ck/

Regla de caza de amenazas exclusiva por Ariel Millahuel se basa en las últimas campañas observadas de Turla APT y ayuda a descubrir la actividad del grupo en sistemas Windows: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tácticas: Evasión de Defensa, Ejecución, Persistencia, Escalación de Privilegios

Técnicas: Modificar Registro (T1112), Tarea Programada (T1056), Ejecución de Usuario (T1204) 


Más contenido de detección para identificar diversas herramientas utilizadas por Turla APT: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión