이번 주의 규칙: Turla 그룹

Turla APT는 2004년부터 운영되어 유럽, 중동, 아시아 및 남미의 정부, 대사관, 군사, 교육, 연구 및 제약 회사를 포함하는 다양한 산업을 대상으로 사이버 첩보전을 수행하고 있습니다. 이는 가장 진보된 러시아 국가 지원 위협 행위자 중 하나로, 복잡한 도구와 공격 시의 독특한 아이디어로 잘 알려져 있습니다. 이 그룹은 공명 있는 작전과 최첨단 악성 코드로 유명하며, 다음과 같은 인프라를 하이재킹하는 등의 활동을 수행하고 있습니다. 이란 APT 그룹 자체 작전을 수행하거나 LightNeuron 백도어 를 통해 감염된 서버의 트래픽을 완전히 제어하여 이메일 가로채기를 포함한 작업을 수행합니다. 

워터링 홀 공격과 스피어피싱 캠페인은 이 그룹의 가장 특징적인 수법입니다. 이 그룹의 무기고는 Windows 시스템을 손상시키는 것을 목표로 하지만, macOS 및 Linux 기계에서도 툴을 사용합니다. Turla의 TTP는 거의 변하지 않았기 때문에 이 그룹에서 사용되는 기술과 도구에 대해 MITRE ATT&CK 섹션의 Threat Detection Marketplace에서 더 많이 배울 수 있습니다: https://tdm.socprime.com/att-ck/

독점적인 위협 사냥 규칙은 Ariel Millahuel 에 의해 작성되었으며, 최신의 관측된 캠페인 에서 Turla APT의 활동을 Windows 시스템에서 탐지할 수 있도록 도와줍니다: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 방어 회피, 실행, 지속성, 권한 상승

기법: 레지스트리 수정 (T1112), Scheduled Task (T1056), 사용자 실행 (T1204) 

Turla APT가 사용하는 다양한 도구를 탐지하는 추가 콘텐츠: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla