Detecção de Malware Snake: Implante de Ciberespionagem Utilizado pelo Turla APT Afiliado à Rússia em uma Campanha Duradoura Contra os Países da OTAN
Índice:
Em 9 de maio de 2023, o Departamento de Justiça dos EUA revelou os detalhes de uma operação conjunta chamada MEDUSA que resultou na interrupção da infraestrutura do implante de ciberespionagem Snake, ativamente utilizada para atingir mais de 50 países na América do Norte, Europa e África.
Emergindo pela primeira vez em 2003, a ferramenta maliciosa tem sido usada pelo grupo Turla, ligado ao Serviço Federal de Segurança da Federação Russa (FSB), para realizar ataques contra vários alvos de interesse, incluindo governos membros da OTAN. Após a interrupção da campanha Snake, a Agência de Segurança Nacional (NSA) e várias agências parceiras instaramorganizações a tomarem ações relevantes visando detectar e mitigar atividades maliciosas ligadas ao Snake.
Detectar Malware Snake Usado por Atores de Ameaças Ligados à Rússia
Com o infame implante Snake sendo a ferramenta de ciberespionagem mais avançada utilizada pelo FSB russo e coberto no mais recente CSA conjunto AA23-129A, a comunidade global de defensores cibernéticos precisa aumentar a conscientização e reforçar a resiliência cibernética para ajudar as organizações a identificar oportunamente a atividade adversária relacionada. A plataforma de Detecção como Código da SOC Prime capacita as organizações a conduzirem uma defesa cibernética coletiva para garantir um futuro cibernético mais seguro, enriquecendo continuamente seu Mercado de Detecção de Ameaças com regras Sigma selecionadas para ameaças emergentes. Para ajudar os defensores cibernéticos a se defenderem proativamente contra o malware Snake vinculado à Rússia, a equipe da SOC Prime lançou recentemente uma extensa coleção de regras Sigma enriquecidas com contexto relevante.
Todas as regras Sigma dentro deste conjunto de detecção são filtradas pelas tags personalizadas “AA23-129A” e “Snake_Malware” com base no código CSA correspondente e no nome do payload para permitir uma busca simplificada por algoritmos de detecção.
Ao clicar no botão Explore Detections abaixo, as equipes de segurança podem obter acesso instantâneo a toda a coleção de regras Sigma para detecção de malware Snake. Os algoritmos de detecção estão alinhados com MITRE ATT&CK v12, cobrem múltiplas fontes de log e são aplicáveis às soluções líderes do setor em SIEM, EDR e XDR. Os engenheiros de segurança também podem explorar metadados relevantes, incluindo referências ATT&CK e CTI, para investigação de ameaças racionalizada.
Análise de Malware Snake
Considerado a amostra de malware de ciberespionagem mais notória e duradoura do FSB, o Snake está ativo há pelo menos 20 anos, mirando secretamente organizações de interesse para a federação russa. A lista de vítimas inclui organizações do setor público da OTAN, jornalistas, representantes da mídia, instituições educacionais e pequenas empresas. Infraestruturas críticas, setores de finanças, manufatura e telecomunicações também foram afetados.
De acordo com pesquisadores de segurança, o malware Snake surgiu pela primeira vez na arena maliciosa em 2003-2004 sob o nome de Uroburos. Sendo vinculado ao coletivo de hackers Turla dentro do Centro 16 do FSB, o implante tem sido continuamente usado por adversários para roubar informações e documentos sensíveis e implantar software malicioso adicional através de uma rede de pares oculta. É tipicamente implantado com a ajuda de nós de infraestrutura voltados para o público na rede alvo. Além disso, o Snake utiliza outras ferramentas e TTPs na rede interna para prosseguir com a atividade maliciosa.
Através da Operação MEDUSA, o FBI conseguiu interromper todos os sistemas impactados dentro dos EUA, enquanto fora do país, a agência coordenou com as autoridades locais para fornecer orientação de detecção e remediação e remover o implante Snake. Conforme detalhado na nota do Departamento de Justiça, especialistas do FBI desenvolveram uma ferramenta dedicada chamada PERSEUS que é capaz de forçar o malware Snake a se desativar e terminar sem causar qualquer efeito prejudicial ao computador hospedeiro ou aplicações associadas.
Agências dos EUA e aliados emitiram um comunicado conjunto ajudando organizações afetadas a identificar a infraestrutura de malware Snake russa e tomar medidas de mitigação.
Com o crescente volume de ataques cibernéticos lançados por forças ofensivas afiliadas à Rússia, os defensores cibernéticos precisam de ultra-responsividade para se defender proativamente contra a atividade maliciosa dos agressores. A SOC Prime oferece uma ampla coleção de regras Sigma contra APTs patrocinados pelo estado russo, junto com 50 algoritmos de detecção selecionados adaptados às necessidades de segurança das organizações. Obtenha a assinatura Sigma2SaveLives com 100% da receita doada para fornecer ajuda focada ao povo ucraniano enquanto fortalece significativamente sua postura de cibersegurança.
