Regola della Settimana: Gruppo Turla

[post-views]
Maggio 29, 2020 · 2 min di lettura
Regola della Settimana: Gruppo Turla

Turla APT opera dal 2004 conducendo campagne di cyberspionaggio mirate a una gamma di settori tra cui governo, ambasciate, militare, istruzione, ricerca e aziende farmaceutiche in Europa, Medio Oriente, Asia e Sud America. Questo è uno dei più avanzati attori di minacce sponsorizzati dallo stato russo, noto per i suoi strumenti sofisticati e idee insolite durante gli attacchi. Il gruppo è noto per operazioni risonanti e malware avanzati, come il dirottamento dell’infrastruttura del gruppo APT iraniano per condurre la propria operazione o LightNeuron backdoor che controlla completamente il traffico sul server infetto, incluso l’intercettamento delle email. 

 

Gli attacchi di watering hole e le campagne spearphishing sono le più caratteristiche di questo gruppo. L’arsenale del gruppo è mirato a compromettere i sistemi Windows, ma utilizzano anche strumenti contro macOS e macchine Linux. Le TTP di Turla sono in gran parte invariate, quindi puoi saperne di più sulle tecniche e strumenti utilizzati da questo gruppo nella sezione MITRE ATT&CK su Threat Detection Marketplace: https://tdm.socprime.com/att-ck/

Regola esclusiva per la caccia alle minacce di Ariel Millahuel è basata sulle ultime campagne osservate di Turla APT e aiuta a scoprire l’attività del gruppo sui sistemi Windows: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tattiche: Evasione della Difesa, Esecuzione, Persistenza, Escalation dei Privilegi

Tecniche: Modifica del Registro (T1112), Attività Pianificata (T1056), Esecuzione da Parte dell’Utente (T1204) 


Ulteriori contenuti di rilevamento per individuare vari strumenti utilizzati da Turla APT: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro