0
0
A APT Turla, ligada à Rússia, invadiu os sistemas de uma organização governamental europeia não revelada, de acordo com a Accenture.
De acordo com um relatório publicado pela Accenture Cyber Threat Intelligence (ACTI), o grupo de espionagem cibernética ligado à Rússia Turla invadiu os sistemas de uma organização governamental europeia não revelada.
O grupo Turla APT (também conhecido como Snake, Uroburos, Waterbug, Venomous Bear e KRYPTON) atua desde pelo menos 2007 visando organizações diplomáticas e governamentais e empresas privadas no Oriente Médio, Ásia, Europa, América do Norte e do Sul, e ex-nações do bloco soviético.
A lista de vítimas anteriormente conhecidas é longa e inclui também a empresa de defesa suíça RUAG,o Departamento de Estado dos EUA e o Comando Central dos EUA.
O ataque contra a organização governamental europeia não revelada está em linha com a motivação de espionagem da APT, o atacante utilizou uma combinação de backdoors baseados em procedimentos remotos (RPC), como hyperStack e trojans de administração remota (RATs), como Kazuar e Carbon. Os pesquisadores do ACTI observaram os ataques entre junho e outubro de 2020.
“Notavelmente, os pesquisadores da Accenture identificaram recentemente novas configurações de comando e controle (C&C) para os backdoors Carbon e Kazuar da Turla na mesma rede de vítimas.” lê o relatório publicado pela Accenture. “As instâncias kazuar variaram na configuração entre o uso de nós de C&C externos fora da rede de vítimas e nós internos na rede afetada, e a instância carbon foi atualizada para incluir um projeto Pastebin para receber tarefas criptografadas ao lado de sua infraestrutura tradicional de C&C HTTP.”
HyperStack é um dos vários backdoors RPC no arsenal de Turla que foi observado pela primeira vez em 2018, é um implante personalizado desenvolvido pelo grupo ATP.
O HyperStack aproveita os tubos nomeados para executar chamadas de procedimento remoto (RPC) do controle final de comando para o dispositivo que executa o cliente HyperStack. Movimentos laterais são implementados tentando se conectar ao compartilhamento IPC$ de outro dispositivo remoto, seja usando uma sessão nula ou credenciais padrão.
“O IPC$ é uma ação que facilita a comunicação interprocessa (IPC) expondo tubos nomeados para escrever ou ler. Se a conexão do implante com o IPC$ for bem sucedida, o implante pode encaminhar comandos RPC do controlador para o dispositivo remoto, e provavelmente tem a capacidade de se copiar para o dispositivo remoto”, continua o relatório.
Turla usa uma variedade de implementações de comando e controle (C&C) para cada compromisso na tentativa de ser resiliente às contramedidas implementadas pelos defensores. O grupo APT vinculado à Rússia tem confiado em servidores web comprometidos com bots como C&C e serviços web legítimos como Pastebin como C2. Uma das amostras de Kazuar analisada pelos especialistas foi configurada para receber comandos enviados através de prováveis nódulos internos na rede do governo.
Turla continua a usar extensivamente a estrutura modular de backdoor carbono com capacidade avançada ponto a ponto. Um dos backdoors carbon analisado pelos pesquisadores usou a tradicional infraestrutura de C&C de ator de ameaças com tarefas servidas da Pastebin. Os analistas da ACTI descobriram um instalador de carbono que derrubou um Orquestrador de Carbono, dois módulos de comunicação e um arquivo de configuração criptografado.
A ACTI também compartilhou indicadores de compromisso (IoCs) para este ataque para permitir que as entidades governamentais verificassem evidências de compromisso em suas redes.
“A Turla provavelmente continuará a usar suas ferramentas herdadas, embora com upgrades, para comprometer e manter o acesso a longo prazo às suas vítimas porque essas ferramentas se mostraram bem sucedidas contra redes baseadas no Windows”, conclui a Accenture.
FONTE: SECURITY AFFAIRS