Detección de Actividad de Turla: Grupo de Ciberespionaje Ruso que Apunta a Ucrania Usa Malware Andromeda Entregado por USB de Hace una Década para Diseminar Nuevos Backdoors
Tabla de contenidos:
Con el malware de propagación por USB convirtiéndose en un vector popular para el acceso inicial, los defensores cibernéticos permanecen vigilantes para proteger la infraestructura crítica de la organización. Los investigadores de ciberseguridad han observado recientemente actividad maliciosa del grupo de ciberespionaje vinculado a Rusia rastreado como Turla APT aprovechando el malware legado Andromeda entregado por USB para desplegar puertas traseras novedosas y herramientas de reconocimiento personalizadas en ciberataques contra Ucrania.
Detección de la Operación de Turla (UNC4210): KopiLuwak y QUIETCANARY Distribuidos a través de Infraestructura Andromeda de una Década de Antigüedad
Con el creciente volumen de ataques dirigidos a Ucrania y sus aliados como parte de las operaciones ofensivas de Rusia en la primera línea cibernética, los defensores están uniéndose para frustrar los ataques del agresor. Para ayudar a las organizaciones a identificar a tiempo la actividad maliciosa del grupo de ciberespionaje Turla respaldado por Rusia, la Plataforma SOC Prime cura un conjunto de reglas Sigma relevantes mapeadas a MITRE ATT&CK®. Siga los enlaces a continuación para obtener acceso instantáneo a las reglas Sigma recién publicadas escritas por nuestros desarrolladores de Threat Bounty, Aykut Gurses and Zaw Min Htun (ZETA), que detectan los últimos ataques de Turla dirigidos a Ucrania como parte de la campaña de los adversarios UNC4210:
Esta regla Sigma desarrollada por Aykut Gurses detecta archivos maliciosos creados por la puerta trasera QUIETCANARY basada en .NET utilizada para recopilar y filtrar datos de usuarios comprometidos. La regla es compatible con 20 tecnologías SIEM, EDR y XDR y aborda la táctica de Comando y Control con Canal Encriptado (T1573) utilizada como su técnica principal.
Posible Ejecución de Actividad UNC4210 Detectando Línea de Comando Asociada (vía process_creation)
Esta regla Sigma escrita por Zaw Min Htun (ZETA) detecta intentos del grupo Turla de recopilar datos a través de WinRAR como parte de la notoria operación maliciosa UNC4210. Esta detección se puede usar en las soluciones líderes en la industria SIEM, EDR, XDR y data lake, como Snowflake, y aborda la táctica de Ejecución con la técnica de Ejecución de Usuario correspondiente (T1204).
Únete a nuestro Programa Threat Bounty para enriquecer tu experiencia en Sigma y ATT&CK contribuyendo con tu propio código de detección y obteniendo la oportunidad de monetizar tus habilidades profesionales.
Estando en la primera línea de la guerra cibernética global, SOC Prime está enriqueciendo continuamente el conjunto de detección con reglas Sigma contra cualquier TTP utilizado por grupos afiliados a Rusia para ayudar a Ucrania y a sus aliados a defenderse contra la agresión rusa. Siguiendo los enlaces a continuación, los ingenieros de seguridad pueden acceder a la lista de reglas Sigma basadas en comportamiento dedicadas relacionadas con la operación UNC4210 de Turla:
Compresión Posible de Datos para Exfiltración (vía cmdline)
Utilidad de Compresión Pasada por Directorio Inusual (vía cmdline)
Descubrimiento Posible de Configuración de Red del Sistema (vía cmdline)
Posible Ejecución de Código a través de Wuauclt.exe (vía cmdline)
LOLBAS Wscript (vía process_creation)
Posible Enumeración de Cuenta o Grupo (vía cmdline)
Haga clic en el Explorar Detecciones botón para profundizar en la lista completa de reglas Sigma enriquecidas con CTI relevante, referencias MITRE ATT&CK y otros metadatos útiles para detectar ataques existentes y emergentes por parte de los actores de amenaza Turla:
Operación del Grupo Turla, también conocida como UNC4210 Dirigiéndose a Ucrania: Análisis de Ataques
Desde el estallido de la guerra cibernética global después de la invasión a gran escala de Rusia a Ucrania, los defensores cibernéticos están abrumados por el volumen de ataques destructivos lanzados por los grupos patrocinados por el estado del agresor dirigidos a Ucrania y sus aliados. El grupo de ciberespionaje vinculado a Rusia Turla, también conocido bajo los sobrenombres Iron Hunter, Krypton, Uroburos o Venomous Bear, se dirige principalmente a organizaciones gubernamentales, diplomáticas y militares aplicando múltiples utilidades de reconocimiento y cepas de malware personalizadas. Desde febrero de 2022, Turla ha estado afiliado a campañas de ciberespionaje contra Ucrania, en gran medida centrado en esfuerzos de reconocimiento y explotando el vector de ataque de phishing para robar credenciales y otros datos sensibles.
A principios de otoño de 2022, los investigadores de Mandiant descubrieron una operación maliciosa por parte de Turla APT conocida como UNC4210, en la que los actores de amenazas estaban aprovechando el malware legado Andromeda (también conocido como Gamarue) para desplegar la herramienta de reconocimiento KopiLuwak y la puerta trasera basada en .NET denominada QUIETCANARY utilizada principalmente para la exfiltración de datos. Notablemente, dos años antes, en 2019, el grupo Turla aplicó el troyano basado en JavaScript KopiLuwak en sus campañas de ciberespionaje dirigidas a entidades gubernamentales.
Aunque la campaña UNC4210 fue lanzada en septiembre de 2022, la organización ucraniana objetivo fue infectada con cepas más antiguas del malware Andromeda que datan de diciembre de 2021 y utilizando una unidad USB comprometida. Los investigadores de ciberseguridad revelaron que en esta campaña UNC4210, los actores de amenazas aplicaron al menos tres dominios C2 de Andromeda caducados para desplegar las cargas útiles mencionadas anteriormente. Según la investigación de Mandiant, el malware entregado por USB sigue siendo un vector popular de acceso inicial. Además, los dominios re-registrados representan un riesgo significativo para los usuarios infectados, permitiendo a los actores de amenazas ampliar su alcance de ataques al propagar más cepas de malware y comprometer un mayor número de organizaciones.
¿Buscando formas de defenderse proactivamente contra ciberataques afiliados a Rusia mientras dona para ayudar a Ucrania? Obtenga acceso a 500+ reglas Sigma contra APTs respaldados por el estado ruso junto con 50 algoritmos de detección seleccionados de su elección con nuestra suscripción basada en caridad #Sigma2SaveLives. Aprenda más en https://my.socprime.com/pricing/.
