Turla APTは2004年から活動しており、ヨーロッパ、中東、アジア、南アメリカの政府、大使館、軍事、教育、研究、製薬会社を対象としたサイバー諜報キャンペーンを展開しています。これは最も先進的なロシア政府支援の脅威アクターの一つであり、攻撃中の洗練されたツールと異常なアイデアで知られています。このグループは、共鳴の作戦や高度なマルウェアで悪名高く、たとえばハイジャックされたインフラストラクチャとしての イランのAPTグループ を使用して独自の作戦を実施したり LightNeuronバックドア で感染したサーバー上のトラフィックを完全に制御し、メール傍受などを行います。
ウォータリングホール攻撃やスピアフィッシングキャンペーンはこのグループの最も特徴的な攻撃方法です。このグループの兵器庫はWindowsシステムを標的にしていますが、macOSやLinuxマシンに対するツールも使用しています。TurlaのTTPはほとんど変わらないため、Threat Detection MarketplaceのMITRE ATT&CKセクションでこのグループによって使用される技術とツールについて詳しく学ぶことができます: https://tdm.socprime.com/att-ck/
独自の脅威ハンティングルールは Ariel Millahuel に基づいており、最新の 観察されたキャンペーン のTurla APTの活動をWindowsシステム上で発見するのに役立ちます: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1
このルールには次のプラットフォーム向けの翻訳があります:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 防御回避、実行、持続性、特権昇格
技術: レジストリの変更 (T1112)、スケジュールドタスク (T1056)、ユーザー実行 (T1204)
Turla APTによって使用されるさまざまなツールを特定するためのさらなる検出コンテンツ: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla