Detecção de Atividade Turla: Grupo de Ciberespionagem Russo Alvo na Ucrânia Usa Malware Andromeda de Uma Década Distribuído por USB para Espalhar Novos Backdoors
Índice:
Com a proliferação de malware que se espalha por USB se tornando um vetor popular de acesso inicial, os defensores cibernéticos permanecem vigilantes na proteção da infraestrutura crítica da organização. Pesquisadores de cibersegurança observaram recentemente a atividade maliciosa do grupo de ciberespionagem vinculado à Rússia, rastreado como Turla APT aproveitando o malware Andromeda entregue por USB para implantar backdoors inovadores e ferramentas de reconhecimento personalizadas em ataques cibernéticos contra a Ucrânia.
Detectando Operação Turla (UNC4210): KopiLuwak e QUIETCANARY Entregues via Infraestrutura Andromeda de Década de Existência
Com o crescimento dos volumes de ataques visando a Ucrânia e seus aliados como parte das operações ofensivas da Rússia na linha de frente cibernética, os defensores estão unindo forças para frustrar os ataques do agressor. Para ajudar as organizações a identificar em tempo hábil a atividade maliciosa do grupo de ciberespionagem Turla apoiado pela Rússia, a Plataforma SOC Prime organiza um conjunto de regras Sigma relevantes mapeadas para o MITRE ATT&CK®. Siga os links abaixo para obter acesso instantâneo às novas regras Sigma escritas por nossos desenvolvedores Threat Bounty, Aykut Gurses and Zaw Min Htun (ZETA), que detectam os últimos ataques Turla dirigidos à Ucrânia como parte da campanha adversária UNC4210:
Detecção de Possíveis Arquivos Maliciosos Gerados pelo Backdoor QUIETCANARY (via file_event)
Esta regra Sigma desenvolvida por Aykut Gurses detecta arquivos maliciosos criados pelo backdoor QUIETCANARY baseado em .NET utilizado para coletar e vazar dados de usuários comprometidos. A regra é compatível com 20 tecnologias SIEM, EDR e XDR e trata da tática de Comando e Controle com Canal Criptografado (T1573) usado como sua técnica principal.
Esta regra Sigma escrita por Zaw Min Htun (ZETA) detecta tentativas do grupo Turla de coletar dados via WinRAR como parte da infame operação maliciosa UNC4210. Esta detecção pode ser utilizada em soluções líderes de mercado de SIEM, EDR, XDR e data lake, como Snowflake, e aborda a tática de Execução com a técnica correspondente de Execução por Usuário (T1204).
Participe do nosso Programa Threat Bounty para enriquecer seu conhecimento em Sigma e ATT&CK contribuindo com seu próprio código de detecção e ganhando uma oportunidade de monetizar suas habilidades profissionais.
Estando na linha de frente da guerra cibernética global, a SOC Prime está continuamente enriquecendo o stack de detecção com regras Sigma contra quaisquer TTPs usados por grupos afiliados à Rússia para ajudar a Ucrânia e seus aliados a se defenderem da agressão russa. Seguindo os links abaixo, engenheiros de segurança podem acessar a lista de regras Sigma baseadas em comportamento dedicadas relacionadas à operação UNC4210 Turla:
Possível Compressão de Dados para Exfiltração (via cmdline)
Utilitário de Compressão Passou por Diretório Incomum (via cmdline)
Possível Descoberta de Configuração de Rede do Sistema (via cmdline)
Possível Execução de Código via Wuauclt.exe (via cmdline)
LOLBAS Wscript (via process_creation)
Possível Enumeração de Conta ou Grupo (via cmdline)
Clique no Explorar Detecções botão para ver a lista abrangente de regras Sigma enriquecidas com CTI relevante, referências MITRE ATT&CK e outros metadados úteis para detectar ataques existentes e emergentes dos atores da ameaça Turla:
Operação do Grupo Turla também conhecida como UNC4210 Alvo: Análise de Ataque
Desde a eclosão da guerra cibernética global após a invasão em grande escala da Rússia à Ucrânia, os defensores cibernéticos estão sobrecarregados com o volume de ataques destrutivos lançados pelos grupos patrocinados pelo Estado do agressor que visam a Ucrânia e seus aliados. O grupo de ciberespionagem afiliado à Rússia Grupo de ciberespionagem Turla, também conhecido pelos apelidos Iron Hunter, Krypton, Uroburos ou Venomous Bear, visa principalmente organizações governamentais, diplomáticas e militares aplicando múltiplas utilidades de reconhecimento e cepas de malware personalizadas. Desde fevereiro de 2022, a Turla tem sido associada a campanhas de ciberespionagem contra a Ucrânia, concentrando-se em grande parte em esforços de reconhecimento e explorando o vetor de ataque de phishing para roubar credenciais e outros dados sensíveis.
No início do outono de 2022, pesquisadores da Mandiant descobriram uma operação maliciosa do Turla APT conhecida como UNC4210, na qual atores de ameaça estavam aproveitando o malware Andromeda legado (também conhecido como Gamarue) para implantar a ferramenta de reconhecimento KopiLuwak e o backdoor baseado em .NET denominado QUIETCANARY, principalmente utilizado para exfiltração de dados. Notavelmente, dois anos antes, em 2019, o grupo Turla aplicou o trojan baseado em JavaScript KopiLuwak em suas campanhas de ciberespionagem direcionadas a entidades governamentais.
Embora a campanha UNC4210 tenha sido lançada em setembro de 2022, a organização ucraniana alvo estava infectada com versões mais antigas do malware Andromeda datadas de dezembro de 2021 e utilizando uma unidade USB comprometida. Pesquisadores de cibersegurança revelaram que nesta campanha UNC4210, os atores da ameaça aplicaram pelo menos três domínios C2 Andromeda expirados para implantar as cargas mencionadas acima. De acordo com a pesquisa da Mandiant, o malware entregue por USB permanece um vetor popular de acesso inicial. Além disso, domínios re-registrados representam um risco significativo para usuários infectados, permitindo que atores da ameaça ampliem seu escopo de ataques espalhando mais cepas de malware e comprometendo um número maior de organizações.
Procurando maneiras de defender proativamente contra ataques cibernéticos afiliados à Rússia enquanto doa para ajudar a Ucrânia? Obtenha acesso a mais de 500 regras Sigma contra APTs apoiados pelo Estado russo, juntamente com 50 algoritmos de detecção selecionados à sua escolha com nossa assinatura baseada em caridade #Sigma2SaveLives. Saiba mais em https://my.socprime.com/pricing/.
