今週のルール：Turlaグループ

Turla APTは2004年から活動しており、ヨーロッパ、中東、アジア、南アメリカの政府、大使館、軍事、教育、研究、製薬会社を対象としたサイバー諜報キャンペーンを展開しています。これは最も先進的なロシア政府支援の脅威アクターの一つであり、攻撃中の洗練されたツールと異常なアイデアで知られています。このグループは、共鳴の作戦や高度なマルウェアで悪名高く、たとえばハイジャックされたインフラストラクチャとしての イランのAPTグループ を使用して独自の作戦を実施したり LightNeuronバックドア で感染したサーバー上のトラフィックを完全に制御し、メール傍受などを行います。 

ウォータリングホール攻撃やスピアフィッシングキャンペーンはこのグループの最も特徴的な攻撃方法です。このグループの兵器庫はWindowsシステムを標的にしていますが、macOSやLinuxマシンに対するツールも使用しています。TurlaのTTPはほとんど変わらないため、Threat Detection MarketplaceのMITRE ATT&CKセクションでこのグループによって使用される技術とツールについて詳しく学ぶことができます： https://tdm.socprime.com/att-ck/

独自の脅威ハンティングルールは Ariel Millahuel に基づいており、最新の 観察されたキャンペーン のTurla APTの活動をWindowsシステム上で発見するのに役立ちます： https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1

このルールには次のプラットフォーム向けの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 防御回避、実行、持続性、特権昇格

技術: レジストリの変更 (T1112)、スケジュールドタスク (T1056)、ユーザー実行 (T1204) 

Turla APTによって使用されるさまざまなツールを特定するためのさらなる検出コンテンツ： https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla