BOOST.... Обратите внимание на Turla⁠⁠

PS Тяжело смотреть на сообщество, которое ранее создал и которое сходит на нет, потому как посты уже реже чем раз в 2 недели 1 штука.

А теперь по сути:

Turla

Waterbug · WhiteBear · Venomous Bear · Group 88 · Snake · SIG23 · Iron Hunter · Krypton · Pacifier APT

Общее описание

По мнению экспертов, судя по артефактам, которые присутствуют в ВПО группы, Turla предположительно является русскоязычной. С 2004 года атакам группы подверглись различные организации более чем в 45 странах по всему миру. Turla известна тем, что проводит атаки watering hole и кампании по целевому фишингу, а также использует собственные инструменты и вредоносное ПО. Группировка получила известность в 2008 году после взлома сети Центрального командования Вооруженных сил США. Жертвами в разные годы также становились Министерство иностранных дел Финляндии и правительство Германии.

Как проверить( на примере ВИНДОВС):

Заходим в Диспетчер Задач, далее монитор ресурсов

Смотрим следующее, в Колонке ОТПРАВЛЕННО, если от вас уходит значительный трафик, но вы никакого видео не выгружаете, ничего в облако в данный момент не сохраняете, то берём подозрительный Удаленный Адрес и проверяем например с помощью сервиса https://www.virustotal.com/gui/home/url

Вот такая штука была обнаружена мной недавно на одной из рабочих машин, что удивительно остальной контур сети был абсолютно чист, были приняты соответствующие меры. Спасибо за внимание, напишите в сообщество пост о своём недавнем опыте сделаем ИБ СНГ ВЕЛИКИМ ^_^

Прочая информация:

Цели

• Кража конфиденциальных данных, представляющих стратегическую важность

• Шпионаж

Инструменты

• AdobeARM

• Agent.BTZ

• Agent.DNE

• ATI-Agent

• Carbon

• ComRAT

• Crutch

• Empire

• Epic

• Gazer

• Hyperstack

• gpresult

• IcedCoffeer

• Kazuar

• KopiLuwak

• KRYPTON

• KSL0T

• LightNeuron

• Maintools.js

• Metasploit

• Mimikatz

• MiniDionis

• Mosquito

• Nautilus

• nbtstat

• Neuron

• Outlook Backdoor

• Penguin Turla

• Pfinet

• Popeye

• pwdump

• Rpc–backdoor

• Skipper

• Snake

• Tavdig

• Turla

• Uroburos

• wce

• WhiteAtlas

• WhiteBear

• Wipbot

• WITCHCOVEN

• WRAITH

Альтернативные названия группы

• Waterbug

• WhiteBear

• Venomous Bear

• Group 88

• Snake

• SIG23

• Iron Hunter

• Krypton

• Pacifier APT

Атакуемые страны

• Австралия

• Австрия

• Азербайджан

• Алжир

• Армения

• Афганистан

• Белоруссия

• Бельгия

• Боливия

• Ботсвана

• Бразилия

• Великобритания

• Венгрия

• Венесуэла

• Вьетнам

• Германия

• Гонконг

• Грузия

• Дания

• Индия

• Индонезия

• Иордания

• Ирак

• Иран

• Испания

• Италия

• Йемен

• Казахстан

• Катар

• Китай

• Кувейт

• Кыргызстан

• Латвия

• Мексика

• Нидерланды

• Пакистан

• Парагвай

• Польша

• Румыния

• Саудовская Аравия

• Сербия

• Сирия

• США

• Таджикистан

• Таиланд

• Тунис

• Туркменистан

• Узбекистан

• Украина

• Уругвай

• Финляндия

• Франция

• Чили

• Швейцария

• Швеция

• Эквадор

• Эстония

• Южная Африка

• Ямайка

• Отчеты Positive Technologies и других исследователей

  • https://www.welivesecurity.com/2017/03/30/carbon-paper-peering-turlas-second-stage-backdoor/

  • https://www.welivesecurity.com/wp-content/uploads/2017/08/eset-gazer.pdf

  • https://www.welivesecurity.com/2018/01/09/turlas-backdoor-laced-flash-player-installer/

  • https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf

  • https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf

  • https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/

  • https://www.welivesecurity.com/2020/03/12/tracking-turla-new-backdoor-armenian-watering-holes/

  • https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf

  • https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/

  • https://securelist.com/kopiluwak-a-new-javascript-payload-from-turla/77429/

  • https://www.govcert.ch/downloads/whitepapers/Report_Ruag-Espionage-Case.pdf

  • https://securelist.com/the-epic-turla-operation/65545/

  • https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/

  • https://www.welivesecurity.com/2017/06/06/turlas-watering-hole-campaign-updated-firefox-extension-abusing-instagram/

  • https://www.gdatasoftware.com/blog/2014/11/23937-the-uroburos-case-new-sophisticated-rat-identified

  • https://www.gdatasoftware.com/blog/2015/01/23926-analysis-of-project-cobra

  • https://www.proofpoint.com/us/threat-insight/post/turla-apt-actor-refreshes-kopiluwak-javascript-backdoor-use-g20-themed-attack

  • https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf

  • https://www.threatminer.org/report.php?q=waterbug-attack-group.pdf&y=2015#gsc.tab=0&gsc.q=waterbug-attack-group.pdf&gsc.page=1

  • https://securelist.com/introducing-whitebear/81638/

  • https://www.welivesecurity.com/2018/05/22/turla-mosquito-shift-towards-generic-tools/

  • https://unit42.paloaltonetworks.com/unit42-kazuar-multiplatform-espionage-backdoor-api-access/

  • https://www.recordedfuture.com/turla-apt-infrastructure/

  • https://media.defense.gov/2019/Oct/18/2002197242/-1/-1/0/NSA_CSA_Turla_20191021%20ver%204%20-%20nsa.gov.pdf

  • https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/waterbug-espionage-governments

  • https://securelist.com/shedding-skin-turlas-fresh-faces/88069/

  • https://unit42.paloaltonetworks.com/ironnetinjector/

  • https://securelist.com/sunburst-backdoor-kazuar/99981/

  • https://www.telsy.com/turla-venomous-bear-updates-its-arsenal-newpass-appears-on-the-apt-threat-scene/

  • https://www.accenture.com/us-en/blogs/cyber-defense/turla-belugasturgeon-compromises-government-entity

  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-303a