Détection d’Activité de Turla : Un Groupe de Cyberespionnage Russe Ciblant l’Ukraine Utilise le Malware Andromeda Distribué par USB Depuis une Décennie pour Diffuser de Nouveaux Portes Dérobées
Table des matières :
Avec la prolifération des logiciels malveillants se répandant via USB comme vecteur populaire d’accès initial, les défenseurs cybernétiques restent vigilants pour protéger l’infrastructure critique de l’organisation. Des chercheurs en cybersécurité ont récemment observé une activité malveillante du groupe de cyberespionnage lié à la Russie qui est suivi sous le nom de Turla APT , exploitant les anciens logiciels malveillants Andromeda diffusés par USB pour déployer des portes dérobées innovantes et des outils de reconnaissance personnalisés dans des cyberattaques contre l’Ukraine.
Détection de l’opération Turla (UNC4210) : KopiLuwak et QUIETCANARY distribués via l’infrastructure Andromeda vieille d’une décennie
Avec l’augmentation des volumes d’attaques visant l’Ukraine et ses alliés dans le cadre des opérations offensives russes sur le front cybernétique, les défenseurs unissent leurs forces pour déjouer les attaques de l’agresseur. Pour aider les organisations à identifier en temps opportun l’activité malveillante du groupe de cyberespionnage Turla soutenu par la Russie, la plateforme SOC Prime propose un ensemble de règles Sigma pertinentes mappées à MITRE ATT&CK®. Suivez les liens ci-dessous pour accéder instantanément aux nouvelles règles Sigma écrites par nos développeurs Threat Bounty, Aykut Gurses and Zaw Min Htun (ZETA), qui détectent les dernières attaques de Turla ciblant l’Ukraine dans le cadre de la campagne ennemie UNC4210 :
Cette règle Sigma développée par Aykut Gurses détecte les fichiers malveillants créés par la porte dérobée QUIETCANARY basée sur .NET utilisée pour collecter et divulguer des données d’utilisateurs compromis. La règle est compatible avec 20 technologies SIEM, EDR et XDR et aborde la tactique Commandement et Contrôle avec le Canal Chiffré (T1573) utilisé comme technique principale.
Exécution possible de l’activité UNC4210 par détection de ligne cmd associée (via process_creation)
Cette règle Sigma écrite par Zaw Min Htun (ZETA) détecte les tentatives du groupe Turla de collecter des données via WinRAR dans le cadre de l’opération malveillante renommée UNC4210. Cette détection peut être utilisée à travers les solutions SIEM, EDR, XDR et les data lakes de premier plan de l’industrie, comme Snowflake, et aborde la tactique d’exécution avec la technique d’exécution utilisateur correspondante (T1204).
Rejoignez notre Programme Threat Bounty pour enrichir votre expertise Sigma et ATT&CK en contribuant avec votre propre code de détection et en ayant l’opportunité de monétiser vos compétences professionnelles.
Etant sur la ligne de front de la guerre cybernétique mondiale, SOC Prime enrichit continuellement la pile de détection avec des règles Sigma contre toutes les TTP utilisées par les groupes affiliés à la Russie pour aider l’Ukraine et ses alliés à se défendre contre l’agression russe. En suivant les liens ci-dessous, les ingénieurs de sécurité peuvent accéder à la liste des règles Sigma basées sur le comportement dédiées à l’opération Turla UNC4210 :
Compression possible de données pour l’exfiltration (via cmdline)
Utilitaire de compression passé dans un répertoire inhabituel (via cmdline)
Découverte possible de la configuration réseau système (via cmdline)
Exécution de code possible via Wuauclt.exe (via cmdline)
LOLBAS Wscript (via process_creation)
Enumération possible de comptes ou de groupes (via cmdline)
Cliquez sur le bouton Explorer les détections pour accéder à la liste complète des règles Sigma enrichies avec les références CTI, MITRE ATT&CK pertinentes et d’autres métadonnées utiles pour détecter les attaques existantes et émergentes des acteurs de la menace Turla :
Opération du groupe Turla alias UNC4210 ciblant l’Ukraine : Analyse des Attaques
Depuis le déclenchement de la guerre cybernétique mondiale après l’invasion à grande échelle de l’Ukraine par la Russie, les défenseurs cybernétiques sont submergés par le volume des attaques destructrices menées par les groupes parrainés par l’État qui ciblent l’Ukraine et ses alliés. Le groupe de cyberespionnage affilié à la Russie Turla, également connu sous les alias Iron Hunter, Krypton, Uroburos ou Venomous Bear, cible principalement les organisations gouvernementales, diplomatiques et militaires en appliquant de multiples utilitaires de reconnaissance et des souches de logiciels malveillants personnalisées. Depuis février 2022, Turla est affilié à des campagnes de cyberespionnage contre l’Ukraine, largement axées sur les efforts de reconnaissance et l’exploitation du vecteur d’attaque par hameçonnage pour voler des identifiants et d’autres données sensibles.
Début automne 2022, les chercheurs de Mandiant ont découvert une opération malveillante par Turla APT connue sous le nom d’UNC4210, dans laquelle les acteurs de menace exploitaient l’ancien logiciel malveillant Andromeda (également connu sous le nom de Gamarue) pour déployer l’outil de reconnaissance KopiLuwak et la porte dérobée basée sur .NET baptisée QUIETCANARY principalement utilisée pour l’exfiltration de données. Notamment, deux ans plus tôt, en 2019, le groupe Turla avait appliqué le cheval de Troie KopiLuwak basé sur JavaScript dans ses campagnes de cyberespionnage ciblant les entités gouvernementales. Bien que la campagne UNC4210 ait été lancée en septembre 2022, l’organisation ukrainienne ciblée a été infectée par de plus anciennes souches de logiciels malveillants Andromeda datant de décembre 2021 et exploitant une clé USB compromise. Les chercheurs en cybersécurité ont révélé que dans cette campagne UNC4210, les acteurs de menace ont appliqué au moins trois domaines C2 Andromeda expirés pour déployer les charges utiles susmentionnées. Selon la recherche de Mandiant, les logiciels malveillants distribués par USB restent un vecteur d’accès initial populaire. De plus, les domaines réenregistrés posent un risque significatif pour les utilisateurs infectés en permettant aux acteurs de menace d’étendre leur portée d’attaques en répandant plus de souches de logiciels malveillants et en compromettant un plus grand nombre d’organisations.
Although the UNC4210 campaign was launched in September 2022, the targeted Ukrainian organization was infected with older Andromeda malware strains dating back to December 2021 and leveraging a compromised USB drive. Cybersecurity researchers unveiled that in this UNC4210 campaign, threat actors applied at least three expired Andromeda C2 domains to deploy the abovementioned payloads. According to Mandiant’s research, USB-delivered malware remains a popular initial access vector. Moreover, re-registered domains pose a significant risk to infected users enabling threat actors to expand their scope of attacks by spreading more malware strains and compromising a broader number of organizations.
Vous cherchez des moyens de vous défendre de manière proactive contre les cyberattaques affiliées à la Russie tout en faisant des dons pour aider l’Ukraine ? Accédez à plus de 500 règles Sigma contre les APT soutenues par l’État russe ainsi qu’à 50 algorithmes de détection sélectionnés de votre choix avec notre abonnement basé sur la charité #Sigma2SaveLives. En savoir plus sur https://my.socprime.com/pricing/.
