Règle de la Semaine : Groupe Turla

[post-views]
mai 29, 2020 · 2 min de lecture
Règle de la Semaine : Groupe Turla

Turla APT fonctionne depuis 2004 et mène des campagnes de cyberespionnage visant un éventail d’industries, y compris les gouvernements, les ambassades, l’armée, l’éducation, la recherche et les entreprises pharmaceutiques en Europe, au Moyen-Orient, en Asie et en Amérique du Sud. C’est l’un des acteurs de menace les plus avancés parrainés par l’État russe, connu pour ses outils sophistiqués et ses idées inhabituelles lors des attaques. Le groupe est réputé pour ses opérations retentissantes et ses malwares avancés, tels que l’infrastructure de détournement du groupe APT iranien pour mener leur propre opération ou la porte dérobée LightNeuron qui contrôle complètement le trafic sur le serveur infecté, y compris l’interception des e-mails. 

 

Les attaques de point d’eau et les campagnes de spearphishing sont les plus caractéristiques de ce groupe. L’arsenal du groupe vise à compromettre les systèmes Windows, mais ils utilisent également des outils contre les machines macOS et Linux. Les TTP de Turla restent en grande partie inchangés, vous pouvez donc en apprendre plus sur les techniques et outils utilisés par ce groupe dans la section MITRE ATT&CK sur Threat Detection Marketplace : https://tdm.socprime.com/att-ck/

Règle de chasse aux menaces exclusive par Ariel Millahuel est basée sur les dernières campagnes observées de Turla APT et aide à découvrir l’activité du groupe sur les systèmes Windows : https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK :

Tactiques : Évasion de la défense, Exécution, Persistance, Escalade de privilèges

Techniques : Modifier le registre (T1112), Tâche planifiée (T1056), Exécution par l’utilisateur (T1204) 


Plus de contenu de détection pour repérer divers outils utilisés par Turla APT : https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion