Infraestructura del Grupo Turla APT con sede en Rusia, …



La práctica del actor de amenazas de usar malware y tácticas conocidas brinda una oportunidad para los defensores, dice Recorded Future.

Las actividades de Turla Team, un sigiloso actor de amenazas basado en Rusia asociado con numerosos ataques contra organizaciones gubernamentales, diplomáticas, tecnológicas y de investigación, pueden ser rastreables debido a la inclinación del grupo a usar malware y técnicas más antiguas junto con su arsenal de herramientas personalizadas más nuevas.

Investigadores de Recorded Long term llegaron recientemente a esa conclusión después de realizar un análisis en profundidad de las actividades de Turla utilizando datos de su plataforma de inteligencia de amenazas y varias otras fuentes, incluida la inteligencia de código abierto. El objetivo del proveedor period ver si podía desarrollar métodos, incluyendo reglas e indicadores de escaneo, para identificar el malware y la infraestructura de Turla.

El análisis de Long term registrado mostró que Turla (también conocido como Snake and Venomous Bear) es un grupo que continúa desarrollando sus propias herramientas avanzadas de malware personalizadas y adoptando nuevos métodos de ataque y ofuscación todo el tiempo. En 2019, el grupo comenzó a aumentar su uso de scripts de PowerShell a través de PowerSploit y PowerShell Empire. También desarrolló una puerta trasera PowerShell personalizada denominada PowerStallion, todo en un aparente esfuerzo por hacer que el descubrimiento sea más difícil para los defensores.

Sin embargo, Recorded Potential también descubrió que en varias campañas largas, Turla tenía un patrón de uso de malware y métodos más antiguos que los investigadores habían identificado previamente como utilizados por el actor de la amenaza. Este hábito brinda a los defensores una oportunidad para rastrear e identificar de manera proactiva la infraestructura y las actividades de Turla, Futuro grabado dijo.

«Turla es un poco inusual en continuar usando el malware antiguo y conocido que tienen», dice John TerBush, investigador principal de inteligencia de amenazas del Grupo Insikt de Recorded Long term. Hay algunos otros ejemplos de uso continuo de malware antiguo, como Winnti y PlugX por parte de grupos asociados con China. «(Pero) la mayoría de los actores avanzados pasarán al malware más reciente una vez que los investigadores los hayan informado y evaluado públicamente», dice TerBush.

Según TerBush, la razón simplemente podría ser que los métodos más antiguos y probados continúan funcionando para Turla en la mayoría de los ataques. Si bien el grupo se agrega continuamente a su cartera de malware, Turla también es muy inteligente sobre cómo usarlos y hacer objetivos muy específicos para limitar la exposición.

Secuestro de Malware e Infraestructura
Al menos dos veces en el pasado, Turla ha aprovechado el malware y la infraestructura que pertenecen a otros grupos de amenazas para llevar a cabo sus propias misiones. La primera vez fue en 2012 cuando los miembros de Turla reutilizaron malware que pertenecía a un actor de amenazas con sede en China llamado Quarian, dice TerBush.

«En ese caso, los investigadores de Kaspersky evaluaron que los actores de Turla descargaron y luego desinstalaron el malware Quarian en un intento de desviar y engañar a los respondedores de incidentes después del descubrimiento», dice TerBush.

Más recientemente, en 2019, Symantec y más tarde el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido informaron sobre los miembros del grupo Turla que utilizan infraestructura de malware y comando y manage (C2) asociada con APT34, un conocido actor iraní de amenazas. El NCSC describió a Turla como el uso de las herramientas de malware de APT34 (Nautilus, Neuron y una capa web ASPX llamada TwoFace) en ataques contra organizaciones del Reino Unido. El incidente marcó la primera vez que un actor respaldado por el estado logró hacerse cargo del malware y la infraestructura de otro actor del estado-nación.

Según TerBush, el análisis de Recorded Future sugiere que la adquisición de los activos de APT34 por parte de Turla puede haber sido de naturaleza oportunista y facilitada por los datos que otro actor de amenazas lanzó en 2019.

Recorded Future descubrió que si bien Turla se dirige con frecuencia a los sistemas Windows, también se ha dirigido deliberadamente a servidores de correo electrónico que utilizan puertas traseras personalizadas para Microsoft Exchange y otros servidores de correo con el fin de tomar el regulate del tráfico de correo electrónico. El grupo también ha estado utilizando sitios de WordPress comprometidos para fines de comando y management y URLs enfocadas en WordPress para entregar cargas útiles. «Esta tendencia permite la creación de perfiles de sus C2 y URL de carga útil para descubrir la nueva infraestructura de Turla», dijo Recorded Upcoming.

Como parte de su investigación de Turla, los investigadores de Recorded Long term analizaron dos tipos de malware asociados con el grupo: un troyano de acceso remoto llamado Mosquito y la cáscara world wide web TwoFace que Turla secuestró de APT34. El vendedor concluyó que muchas de las webshells de TwoFace que están actualmente operativas ahora están bajo el manage del grupo Turla y no del APT34.

El informe de Upcoming Recorded proporciona un estudio sobre cómo otros podrían analizar de manera related el malware del estado nacional y crear métodos de detección de sonido, dice TerBush. «Utilizando estos hallazgos, esperamos que las organizaciones utilicen estos y otros métodos de detección para el malware Turla», dice.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más ideas





Enlace a la noticia first