APT Turla tem operado desde 2004 conduzindo campanhas de ciberespionagem direcionadas a uma variedade de indústrias, incluindo governo, embaixadas, militares, educação, pesquisa e empresas farmacêuticas na Europa, Oriente Médio, Ásia e América do Sul. Este é um dos atores de ameaça patrocinados pelo estado russo mais avançados, conhecido por suas ferramentas sofisticadas e ideias incomuns durante os ataques. O grupo é notório por operações ressonantes e malware avançado, como a infraestrutura de sequestro do grupo APT iraniano para conduzir sua própria operação ou backdoor LightNeuron que controla completamente o tráfego no servidor infectado, incluindo interceptação de emails.
Ataques de watering hole e campanhas de spearphishing são as mais características deste grupo. O arsenal do grupo é voltado para comprometer sistemas Windows, mas eles também usam ferramentas contra máquinas macOS e Linux. As TTPs de Turla são amplamente inalteradas, então você pode saber mais sobre técnicas e ferramentas usadas por este grupo na seção MITRE ATT&CK no Threat Detection Marketplace: https://tdm.socprime.com/att-ck/
Regra exclusiva de caça a ameaças por Ariel Millahuel é baseada nas últimas campanhas observadas do APT Turla e ajuda a descobrir a atividade do grupo em sistemas Windows: https://tdm.socprime.com/tdm/info/dUqVvAkwxPTB/L-YRW3IBv8lhbg_iue9J/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Evasão de Defesa, Execução, Persistência, Escalação de Privilégios
Técnicas: Modificar Registro (T1112), Tarefa Agendada (T1056), Execução do Usuário (T1204)
Mais conteúdo de detecção para identificar várias ferramentas usadas pelo APT Turla: https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType=tags&searchSubType=custom&searchQueryFeatures=false&searchValue=turla