Rilevamento Attività Turla: Gruppo di Cyber Spionaggio Russo che Prende di Mira l’Ucraina Usa il Malware Andromeda vecchio di un decennio Veicolato tramite USB per Diffondere Nuove Backdoor
Indice:
Con il malware che si diffonde tramite USB diventando un vettore popolare per l’accesso iniziale, i difensori informatici rimangono vigili nel proteggere le infrastrutture critiche dell’organizzazione. I ricercatori di sicurezza informatica hanno recentemente osservato attività malevole del gruppo di cyberespionaggio legato alla Russia tracciato come Turla APT sfruttando il malware Andromeda distribuito via USB per implementare nuovi backdoor e strumenti di ricognizione personalizzati negli attacchi informatici contro l’Ucraina.
Rilevamento delle operazioni Turla (UNC4210): KopiLuwak e QUIETCANARY distribuiti tramite infrastruttura Andromeda vecchia di decenni
Con i crescenti volumi di attacchi che prendono di mira l’Ucraina e i suoi alleati come parte delle operazioni offensive della Russia sulla frontiera della cybersicurezza, i difensori uniscono le forze per contrastare gli attacchi dell’aggressore. Per aiutare le organizzazioni a identificare tempestivamente l’attività malevola del gruppo di cyberespionaggio Turla supportato dalla Russia, la piattaforma SOC Prime cura un set di regole Sigma rilevanti mappate a MITRE ATT&CK®. Segui i link qui sotto per ottenere accesso immediato alle nuove regole Sigma scritte dai nostri sviluppatori di Threat Bounty, Aykut Gurses and Zaw Min Htun (ZETA), che rilevano gli ultimi attacchi Turla mirati all’Ucraina come parte della campagna avversaria UNC4210:
Rilevamento di Possibili File Malevoli Generati dal Backdoor QUIETCANARY (via file_event)
Questa regola Sigma sviluppata da Aykut Gurses rileva file malevoli creati dal backdoor QUIETCANARY basato su .NET utilizzato per raccogliere e divulgare dati da utenti compromessi. La regola è compatibile con 20 tecnologie SIEM, EDR e XDR e affronta la tattica di Comando e Controllo con Canale Cifrato (T1573) utilizzato come tecnica principale.
Questa regola Sigma scritta da Zaw Min Htun (ZETA) rileva i tentativi del gruppo Turla di raccogliere dati tramite WinRAR come parte dell’operazione malevola UNC4210. Questo rilevamento può essere utilizzato in tutta l’industria leader SIEM, EDR, XDR e soluzioni data lake, come Snowflake, e affronta la tattica di Esecuzione con la corrispondente tecnica di Esecuzione Utente (T1204).
Unisciti al nostro Programma Threat Bounty per arricchire la tua esperienza Sigma e ATT&CK contribuendo con il tuo codice di rilevamento e ottenendo l’opportunità di monetizzare le tue competenze professionali.
Essendo in prima linea nella guerra informatica globale, SOC Prime sta continuamente arricchendo lo stack di rilevamento con regole Sigma contro qualsiasi TTP utilizzato dai gruppi affiliati alla Russia per aiutare l’Ucraina e i suoi alleati a difendersi dall’aggressione russa. Seguendo i link qui sotto, gli ingegneri della sicurezza possono accedere all’elenco di regole Sigma basate sul comportamento dedicate all’operazione Turla UNC4210:
Possibile Compressione Dati per Esfiltrazione (via cmdline)
Utility di Compressione Passata in una Directory Insolita (via cmdline)
Possibile Scoperta della Configurazione di Rete del Sistema (via cmdline)
Possibile Esecuzione di Codice tramite Wuauclt.exe (via cmdline)
LOLBAS Wscript (via process_creation)
Possibile Enumerazione Account o Gruppo (via cmdline)
Clicca sul pulsante Esplora Rilevamenti per approfondire l’elenco completo di regole Sigma arricchite con CTI, riferimenti MITRE ATT&CK e altri metadati utili per rilevare attacchi esistenti ed emergenti dagli attori della minaccia Turla:
Operazione del Gruppo Turla alias UNC4210 che Mira all’Ucraina: Analisi degli Attacchi
Dall’inizio della guerra informatica globale dopo l’invasione su larga scala dell’Ucraina da parte della Russia, i difensori informatici sono sopraffatti dal volume di attacchi distruttivi lanciati dai gruppi sponsorizzati dallo stato aggressore contro l’Ucraina e i suoi alleati. Il gruppo di cyberespionaggio affiliato alla Russia Turla, noto anche con i soprannomi Iron Hunter, Krypton, Uroburos o Venomous Bear, prende di mira principalmente organizzazioni governative, diplomatiche e militari applicando molteplici utilità di ricognizione e ceppi di malware personalizzati. Dal febbraio 2022, Turla è stata affiliata a campagne di cyberespionaggio contro l’Ucraina, concentrandosi principalmente sugli sforzi di ricognizione e sfruttando il vettore di attacco phishing per rubare credenziali e altri dati sensibili.
All’inizio dell’autunno 2022, i ricercatori di Mandiant hanno svelato un’operazione malevola di Turla APT conosciuta come UNC4210, in cui gli attori della minaccia stavano sfruttando il malware Andromeda legacy (aka Gamarue) per implementare lo strumento di ricognizione KopiLuwak e il backdoor basato su .NET denominato QUIETCANARY utilizzato principalmente per l’esfiltrazione dei dati. Notoriamente, due anni prima, nel 2019, il gruppo Turla ha applicato il trojan basato su JavaScript KopiLuwak nelle loro campagne di cyberespionaggio rivolte a entità governative.
Sebbene la campagna UNC4210 sia stata lanciata a settembre 2022, l’organizzazione ucraina presa di mira è stata infettata con ceppi di malware Andromeda più vecchi risalenti a dicembre 2021 e sfruttando un’unità USB compromessa. I ricercatori di sicurezza informatica hanno rivelato che in questa campagna UNC4210, gli attori della minaccia hanno applicato almeno tre domini C2 Andromeda scaduti per distribuire i payload sopra menzionati. Secondo la ricerca di Mandiant, il malware distribuito tramite USB rimane un vettore di accesso iniziale popolare. Inoltre, i domini ri-registrati rappresentano un rischio significativo per gli utenti infetti, consentendo agli attori della minaccia di espandere il loro ambito di attacchi diffondendo più ceppi di malware e compromettendo un numero maggiore di organizzazioni.
Cerchi modi per difenderti proattivamente dagli attacchi informatici affiliati alla Russia contribuendo a sostenere l’Ucraina? Ottieni accesso a oltre 500 regole Sigma contro le APT supportate dallo stato russo insieme a 50 algoritmi di rilevamento curati a tua scelta con il nostro abbonamento #Sigma2SaveLives a scopo benefico. Scopri di più su https://my.socprime.com/pricing/.
