Çözümler

SiteMor transforms your website into a digital fortress, resilient against cyber threats. As a leading Managed Security Service Provider (MSSP), we safeguard businesses using advanced technology and expert teams, offering robust protection for your critical digital assets.

webserver web server güvenliği dkim dmark raporlama email e-mail güvenliği RAMSES-II

SITEMOR

https://sitemor.com/

Zeek IPS is platform for network security monitoring. Flexible, open source, and powered by defenders.

açık kaynak açıkkaynak opensource open source

ZEEK

>https://zeek.org

Greenbone OpenVAS Zaafiyet Taraması https://openvas.org

açık kaynak açıkkaynak opensource open source

OpenVAS

https://openvas.org

WAZUH SIEM

açık kaynak açıkkaynak opensource open source

WAZUH

https://wazuh.com

Açık Kaynak Phishing Toolkit Gophish designed for pentesters and businesses to conduct phishing campaigns

açık kaynak açıkkaynak opensource open source

Gophish

Suricata open source network analysis and threat detection software.

açık kaynak açıkkaynak opensource open source

SURICATA

https://suricata.io

TURLA APT SALDIRISI

Turla (diğer bir adı Pensive), Rusya Federal Güvenlik Servisi’ne (FSB, eskiden KGB) atfedilen bir siber casusluk tehdit grubudur. En az 2004'ten bu yana hükümet, elçilikler, askeriye, eğitim, araştırma ve ilaç şirketleri de dahil olmak üzere çeşitli endüstrileri kapsayan 50'den fazla ülkede kurbanları ele geçirdiler. Turla, WateringHole ve SpearPhishing kampanyaları yürütmesi ve Uroburos gibi şirket içi araçlardan ve kötü amaçlı yazılımlardan yararlanmasıyla tanınıyor.

Saldırganlar kurbanlara bulaşmak için hem doğrudan hedef odaklı SpearPhishing e-postalarını hem de WateringHole saldırılarını kullanıyor. WateringHole potansiyel kurbanların sıklıkla ziyaret ettiği web siteleridir. Bu web siteleri saldırganlar tarafından önceden ele geçirilir ve kötü amaçlı kod sunmak üzere enjekte edilir. Saldırganlar, ziyaretçinin IP adresine (örneğin bir devlet kuruluşunun IP’si) bağlı olarak Java veya tarayıcı açıklarından yararlanma, imzalı sahte Adobe Flash Player yazılımı veya Microsoft Security Essentials’ın sahte bir sürümünü sunar.

KARPERSKY 100'den fazla enjekte edilmiş web sitesi olduğunu gözlemlemiştir. Web sitelerinin seçimi saldırganların özel ilgisini yansıtıyor. Örneğin, virüs bulaşmış İspanyol web sitelerinin çoğu yerel yönetimlere aittir. Kullanıcıya virüs bulaştığında Backdoor, kurbanın sistem bilgilerini içeren bir paket göndermek için hemen komuta ve kontrol (C&C) sunucusuna bağlanır. Sonrasında önceden konfigüre edilmiş komut dosyaları sisteme yüklenir. Bunlara ek olarak saldırganlar LateralMovement sağlamak için keylogger, DNS sorgu aracı gibi özel olarak hazırlanmış araçları da sisteme yüklerler.

Turla’nın kötü bir üne sahip olması; Yılan, Zehirli Ayı, Beyaz Ayı, Uroburos, Grup 88 ve Su Böceği gibi, hepsi devlet kurumlarını, istihbarat teşkilatlarının yanı sıra askeri, eğitim, araştırma ve kurumları hedef aldığı bilinen birinci sınıf RootKit’lerden gelmektedir. Diğer APT grupları gibi Turla da kendine özel tasarlanmış karmaşık araçlara sahiptir. Ancak Turla’yı çağdaşlarından ayıran şey, tehdit aktörünün saldırının ilerleyen aşamalarında kullandığı uydu tabanlı komuta ve kontrol (C&C) mekanizması ve tespit edilmeme yeteneğidir. Turla’nın casusluk platformu öncelikle Windows sistemlerine karşı kullanılıyor ancak macOS ve Linux sistemlerine karşı da kullanılmaktadır.

Johns Hopkins Üniversitesi’nden profesör Thomas Rid’e göre grup muhtemelen 1990'ların sonlarından beri faaliyet gösteriyor. Ars Technica’dan Dan Goodin, Turla’yı “Rus casusları” olarak tanımladı. Turla’ya o zamandan beri Yılan, Kripton ve Zehirli Ayı gibi başka isimler de verildi.

Mayıs 2023'te Amerika Birleşik Devletleri Adalet Bakanlığı, ABD’nin kötü amaçlı yazılımın bulaştığı makinelere sızmayı başardığını ve kötü amaçlı yazılımın kendisini silmesini emreden bir komut yayınladığını duyurdu. FBI ve Adalet Bakanlığı’nın beyanları, grubun Ryazan’daki Rusya Federal Güvenlik Servisi Merkezi 16 grubunun bir parçası olduğunu ortaya çıkardı.

TURLA FAALİYETLERİ

Ağustos 2014

Turla’nın birkaç yıldır aktif olduğu bilinmesine rağmen enfeksiyon vektörü soru işareti oluşturuyordu. 2014 yılında yapılan araştırma, Epic’in (Turla tarafından kullanılan bir kötü amaçlı yazılım ailesi) kullanıldığı ve kampanyanın Epic Turla olarak adlandırıldığı karmaşık, çok aşamalı bir saldırının gerçekleştirildiğini gösterdi. CVE-2013–5065 ve CVE-2013–3346 güvenlik açıklarından yararlanan saldırılarda, Adobe PDF açıklarından yararlanan SpearPhishing e-postaları ve Java açıklarından yararlanan WateringHole teknikleri (CVE-2012–1723) kullanıldı. Bu kampanyanın en önemli özelliği Turla’nın Carbon/Cobra gibi daha karmaşık arka kapıları kullanmasıydı, grup bazen yükü dağıtmak için her iki arka kapıyı da kullanıyordu.

Kullanılan Taktik ve Teknikler:

· İlk Giriş (Initial Access)

o T1189 (Drive-by Compromise)

o T1566 (Phishing)

· Çalıştırma (Execution)

o T1204.002 (User Execution: Malicious File)

Aralık 2014

Önceki Turla kampanyaları Windows tabanlı makineleri hedef alacak şekilde tasarlanırken, Ağustos 2014'teki kampanya Turla’nın Linux işletim sistemini hedeflediği ilk örnek oldu. Penguin Turla olarak adlandırılan grup, birden fazla kitaplığa statik olarak bağlanan C/C++ yürütülebilir dosyasına sahip bir Linux Turla modülü kullandı ve bu kampanya için dosya boyutunu büyük ölçüde artırdı.

Ocak 2016

Waterbug (devlet destekli bir grup olduğu iddia edilen) adlı bir grup tehdit aktörü, sıfır gün güvenlik açığından, özellikle de Windows Çekirdeği NDProxy.sys yerel yetki yükseltme güvenlik açığı CVE-2013–5065'ten yararlanmak için Trojan.Turla ve Trojan.Wipbot’un varyantlarını kullandı. Bir araştırma, saldırganların, kötü amaçlı eklentiler içeren özel hazırlanmış e-postalar ve kötü amaçlı veriler dağıtmak için güvenliği ihlal edilmiş bir dizi web sitesi kullandığını ileri sürdü.

Mart 2017

2017 yılında ESET, Carbon olarak bilinen ikinci aşama bir Backdoor olan Turla kötü amaçlı yazılımının gelişmiş bir çeşidi hakkında bir araştırma yazısı yayınladı. Carbon saldırısı, başlangıçta kurbanın SpearPhishing e-postası almasını veya WateringHole olarak da bilinen, güvenliği ihlal edilmiş bir web sitesini ziyaret etmesini içerir.

Bunu daha sonra Tavdig veya Skipper gibi birinci aşama bir Backdoor kurulumu takip eder. İkinci aşamadaki arka kapı Carbon, yenilenme faaliyetleri tamamlandıktan sonra kilit sistemlere kurulur. Carbon, yapılandırma dosyasını yüklemek için bir Dropper’dan, C&C sunucusuyla iletişim kurmak için bir bileşenden, görevleri yerine getirmek ve bunları ağ üzerinde yanal olarak taşımak için bir orkestratörden ve orkestratörü yürütmek için bir yükleyiciden oluşur.

Mayıs 2017

Mayıs 2017'de Kazuar adlı yeni bir Backdoor Trojan, Turla grubuyla ilişkilendirildi. Microsoft .NET Framework kullanılarak yazılan Kazuar, ek eklentileri uzaktan yükleyebilen son derece işlevsel komut setleri içerir. Kazuar, sistem ve kötü amaçlı yazılım dosya adı bilgilerini toplar ve sistemde aynı anda kötü amaçlı yazılımın yalnızca bir örneğinin yürütülmesini sağlamak için bir muteks oluşturur. Daha sonra Windows başlangıç ​​klasörüne bir LNK dosyası ekler.

Kazuar’da ayarlanan komutların çoğunluğu diğer Backdoor Trojan’lara benzer özellikleri paylaşıyor. Örneğin, ‘tasklist’ komutu, Windows’tan çalışan işlemi almak için bir Windows Management Instrumentation (WMI) sorgusu kullanırken, ‘info’ komutu açılan pencereler hakkında bilgi toplamak için kullanılır. Ayrıca Kazuar’ın ‘cmd’ komutu, Windows sistemleri için cmd.exe ve Unix sistemleri için /bin/bash kullanarak komutları çalıştıracak. Bu komutlar, Kazuar’ın hem Windows hem de Unix sistemlerini hedef alan çapraz platformlu bir kötü amaçlı yazılım olarak tasarlandığını güçlü bir şekilde ortaya koyuyor.

2021'in başlarında yapılan araştırma, SUNBURST ve Kazuar Backdor’ları arasında birçok benzerlik olduğunu ortaya çıkardı.

Kullanılan Taktik ve Teknikler:

· Çalıştırma (Execution)

o T1047 (WMI)

· Kalıcılık (Persistence)

o T1547.009 (Boot or Logon Autostart Execution: Shortcut Modification)

· Keşif (Discovery)

o T1010 (Application Window Discovery)

Ağustos 2017

Ağustos ayında Turla, kurbanların daha kesin bir şekilde hedeflenmesi için WateringHole saldırılarına ve SpearPhishing kampanyalarına dayanan, Gazer olarak bilinen, C++ ile yazılmış yeni bir ikinci aşama Backdoor tanıttı. Gazer’ın daha gizli olmasının yanı sıra, daha önce kullanılan Carbon ve Kazuar gibi ikinci aşama arka kapılarla pek çok benzerliğe sahip olduğu görüldü.

Bu kampanyanın tanımlayıcı özelliği kodun tamamına “video oyunuyla ilgili” cümlelerin eklenmesiydi. Turla, Gazer’in C&C sunucusunu 3DES ve RSA kütüphanelerini kullanarak şifreliyor.

Kullanılan Taktik ve Teknikler:

· Komuta ve Kontrol (Command and Control)

o T1573 (Encrypted Channel)

Ocak 2018

2018 tarihli bir istihbarat raporu, Turla’nın, özellikle Mail ve Web sunucularına odaklanarak Windows makinelerini hedeflemek için Snake rootkit ile birlikte Neuron ve Nautilus olarak bilinen yeni kötü amaçlı araçları kullandığını ileri sürdü. Turla, şifrelenmiş HTTP çerez değerleri kullanılarak iletilen komutlar ile ASPX kabuğunu taramak için mevcut Snake kurbanlarından yararlandı. Ayrıca Turla’nın, ek araçları konuşlandırmak amacıyla hedef sisteme tutunmak için ASPX Shell kullandığından da bahsedildi.

Ağustos 2018

Turla, son derece hassas bilgilere erişmek amacıyla bir Backdoor aracılığıyla Avrupa hükümetlerinin dış ofislerini hedef aldı. Kampanya tüm giden e-postaları saldırganlara ileterek Microsoft Outlook ve The Bat’ı hedef aldı! (öncelikle Doğu Avrupa’da kullanılan popüler bir posta istemcisi). Arka kapı, özel hazırlanmış PDF belgeleri kullanarak veri sızdırmak için e-posta mesajlarını kullandı. Ayrıca e-posta mesajlarını C&C sunucusu için aktarım katmanı olarak kullandı.

Haziran 2019

OilRig, genellikle Orta Doğu’daki devlet kurumlarını ve kuruluşlarını hedef alan İran bağlantılı bir APT grubudur. Önceki araştırmalar, Turla grubunun OilRig’in altyapısını kullanarak bir hedefi ele geçirdiğini öne sürüyor. Kampanya, Mimikatz aracının büyük ölçüde değiştirilmiş, özel bir versiyonunun ve ayrıca birkaç yeni arka kapı içeren yeni bir araç setinin kullanıldığını gördü. Kampanyanın sonraki aşamalarında Turla grubu, PowerShell komut dosyalarını (powershell.exe kullanmadan) yürütmek için halka açık PowerShell Runner aracından gelen kodu içeren farklı bir uzaktan prosedür çağrısı (RPC) ile iletişim kuran Backdoor kullandı.

Mart 2020

Mart 2020'de güvenlik araştırmacıları Turla’nın WateringHole saldırıları kullanarak birden fazla Ermeni web sitesini hedef aldığını gözlemledi. Saldırıda kullanılan erişim yöntemleri bilinmese de bu web sitelerine kötü amaçlı JavaScript kodu yerleştirildi. Güvenliği ihlal edilen web sayfası daha sonra ikinci aşama kötü amaçlı JavaScript kodunu kurbanın tarayıcısına gönderdi ve onları kötü amaçlı bir flash yükleyici yüklemeleri için kandırdı. Turla daha sonra ikinci aşama kötü amaçlı yazılım için NetFlash (bir .NET indiricisi) ve PyFlash’ı kullandı.

Kullanılan Taktik ve Teknikler:

· İlk Giriş (Initial Access)

o T1189 (Drive-by Compromise)

· Çalıştırma (Execution)

o T1204 (User Execution)

· Kalıcılık (Persistence)

o T1053 (Scheduled Tasks)

· Keşif (Discovery)

o T1071 (Application Layer Protocol)

o T1573 (Encrypted Channel)

o T1571 (Non-Standard Port)

· Komuta ve Kontrol (Command and Kontrol)

o T1041 (Exfiltration over C2 Channel)

Mayıs 2020

Agent.BTZ olarak da bilinen ComRAT v4, Turla tarafından kullanılan ve C++ kullanılarak geliştirilen ve genellikle hassas belgeleri dışarı çıkarmak için kullanılan sanal bir FAT16 dosya sistemi kullanan bir uzaktan erişim Trojan’ıdır (RAT). PowerStallion PowerShell Backdoor gibi mevcut erişim yöntemleri kullanılarak dağıtılır. Ayrıca, C&C kanalları olarak HTTP ve e-postaları kullanır.

Kullanılan Taktik ve Teknikler:

· Çalıştırma (Execution)

o T1059 (Command and Scripting Interpreter)

· Kalıcılık (Persistence)

o T1053 (Scheduled Task/Job)

· Savunmadan Kaçınma (Defense Evasion)

o T1055 (Process Injection)

o T1112 (Modify Registiry)

o T1027 (Obfuscated Files or Information)

· Keşif (Discovery)

o T1069 (Permission Groups Discovery)

o T1033 (System Owner/User Discovey)

o T1082 (System Information Discovery)

o T1087 (Account Discovery)

o T1120 (Peripheral Device Discovery)

o T1135 (Network Device Discovery)

o T1016 (System Network Configuration Discovery)

· Toplama (Collection)

o T1213 (Data from Information Repositories)

· Komuta ve Kontrol (Command and Control)

o T1573 (Encrypted Channel)

o T1071 (Application Layer Protocol)

o T1102 (Web Services)

· Sızdırma (Exfiltration)

o T1048 (Exfiltration over alternative protocol)

Aralık 2020

Aralık 2020'de, Crutch adlı daha önce belgelenmemiş bir Backdoor ve belge hırsızı, Turla grubuna atfedildi. Görünüşe göre Crutch’ın eski sürümleri, resmi HTTP API’sini kullanarak sabit kodlu bir Dropbox hesabıyla iletişim kuran bir Backdoor içeriyordu. Dosyaların okunması ve yazılması, ek işlemlerin yürütülmesi ve Google Chrome, Mozilla Firefox veya Microsoft OneDrive’da DLL ele geçirme yoluyla kalıcılığın ayarlanması ile ilgili komutları yürütme yeteneğine sahipti.

Crutch v4'ün önemli özelliklerinden biri, yerel sürücülerde bulunan dosyaları Wget programının Windows sürümünü kullanarak (arka kapı komutlarına dayanan önceki sürümlerin aksine) otomatik olarak Dropbox depolama alanına yükleyebilmesidir.

Kullanılan Taktik ve Teknikler:

· İlk Giriş (Initial Access)

o T1072.003 (Valid Accounts: Local Accounts)

· Kalıclık (Persistence)

o T1053.005 (Scheduled Task/Job: Scheduled Task)

o T1574.001 (Hijack Execution Flow: DLL Search Order Hijacking)

· Savunmadan Kaçınma (Defense Evasion)

o T1036.004 (Masquerading: Masquerade Task or Service)

· Keşif (Discovery)

o T1120 (Peripheral Device Discovery)

· Toplama (Collection)

o T1025 (Data from Removable Media)

o T1074.001 (Data Staged: Local Data Staging)

o T1119 (Automated Collection)

o T1560.001 (Archive Collected Data: Archive via Utility)

· Komuta ve Kontrol (Command and Control)

o T1008 (Fallback Channels)

o T1074.001 (Application Layer Protocol: Web Protocols)

o T1102.002 (Web Service: Bidirectional Communication)

· Sızdırma (Exfiltration)

o T1020 (Automated Exfiltration)

o T1041 (Exfiltration over C2 Channel)

o T1567.002 (Exfiltration over Web Service: Exfiltration to Cloud Storage)

Eylül 2021

TinyTurla olarak bilinen yeni Turla Backdoor, muhtemelen birincil kötü amaçlı yazılım kaldırıldığında bile sisteme erişimi sürdürmek için ikincil bir seçenek olarak kullanıldı. Backdoor, Batch dosyası kullanılarak yüklenir ve Windows sistemlerinde bulunan w32time.dll dosyasını taklit etmeye çalışan w64time.dll adlı bir hizmet DLL’si biçiminde gelir.

Mayıs 2022

Turla’nın Mayıs 2022 kampanyası yalnızca keşif amaçlı kullanılmış ve herhangi bir kötü amaçlı kod kullanımı içermemiştir. Araştırmacılar, kurbanın kullandığı Microsoft Word uygulamasının sürümünü ve türünü yakalamak amacıyla HTTP aracılığıyla kendi kontrollü sunucusuna istek gerçekleştiren bir belge keşfetti. Elde edilen bilgiler daha sonra Microsoft Word sürümüne dayalı olarak belirli bir istismar oluşturmak için kullanılabilir.

Kullanılan Taktik ve Teknikler:

· Dış Keşif (Reconnaisance)

o T1592.002 (Gather Victim Host Information: Software)

o T1590.005 (Gather Victim Network Information: IP Addresses)

o T1598.003 (Phishing for Information: SpearPhishing Link)

Temmuz 2023

Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA) Temmuz 2023'te yaptığı bir duyuru, Turla’nın Ukrayna savunma varlıklarına yönelik casusluk saldırıları için Capibar kötü amaçlı yazılımını ve Kazuar arka kapısını kullandığını ortaya çıkardı. Bu kampanyada Capibar istihbarat toplamak için kullanılırken Kazuar kimlik bilgileri hırsızlığı yaptı. Bu saldırı, Phishing saldırılarından yararlanarak diplomatik ve askeri kuruluşları hedef aldı.

Kullanılan Taktik ve Teknikler:

· Savunmadan Kaçınma (Defense Evasion)

o T1027 (Obfuscated Files or Information)

· Çalıştırma (Execution)

o T1059 (Command and Scripting Interpreter)

· Komuta ve Kontrol (Command and Control)

o T1053 (Scheduled Task/Job)

o T1105 (Ingress Tool Transfer)

· Sızdırma (Exfiltration)

o T1567 (Exfiltration over Web Service)

· Kalıcılık (Persistence)

o T1546 (Event Triggered Execution)

Faaliyetlerden Çıkarılan Sonuç ve Dersler

Turla grubu uzun bir faaliyet geçmişine sahip inatçı bir gruptur. Kökenleri, taktikleri ve hedefleri, yüksek vasıflı operatörlerin yer aldığı, iyi finanse edilen bir operasyona işaret ediyor. Turla, araçlarını ve tekniklerini yıllar içinde sürekli olarak geliştirmiştir ve muhtemelen bunları iyileştirmeye devam edecektir.

Turla gibi grupların oluşturduğu tehdit, kuruluşların ve hükümetlerin bilgi sahibi olarak, istihbarat paylaşarak ve hem grupların hem de bireylerin kendilerini bu tür tehdit aktörlerine karşı daha iyi korumalarına olanak tanıyacak güvenlik önlemlerini uygulayarak uyanık kalmalarının önemini vurguluyor.

Cortex XDR Uyarıları ile Hazırlanan Örnek MITRE Tablosu

MITRE ATT&CK tactic

MITRE ATT&CK technique

Resource Development

Acquire InfrastructureCompromise InfrastructureDevelop CapabilitiesObtain Capabilities

Execution

Command and Scripting InterpreterNative APIUser Execution

Initial Access

Drive-by CompromisePhishingValid Accounts

Persistence

Boot or Logon Autostart ExecutionEvent Triggered ExecutionValid Accounts

Privilege Escalation

Access Token ManipulationBoot or Logon Autostart ExecutionEvent Triggered ExecutionExploitation for Privilege EscalationProcess InjectionValid Accounts

Defense Evasion

Access Token ManipulationDeobfuscate/Decode Files or InformationImpair DefensesModify RegistryObfuscated Files or InformationProcess InjectionSubvert Trust ControlsValid Accounts

Credential Access

Brute ForceCredentials from Password Stores

Discovery

Account DiscoveryFile and Directory DiscoveryGroup Policy DiscoveryPassword Policy DiscoveryPeripheral Device DiscoveryPermission Groups DiscoveryProcess DiscoveryQuery RegistryRemote System DiscoverySoftware DiscoverySystem Information DiscoverySystem Network Configuration DiscoverySystem Network Connections DiscoverySystem Service Discovery

Lateral Movement

Lateral Tool TransferRemote Services

Collection

Archive Collected DataData from Information RepositoriesData from Local SystemData from Removable Media

Command and Control

Application Layer ProtocolIngress Tool TransferProxyWeb Service

Exfiltration

Exfiltration Over Web Service

Güvenlik İhlali Göstergeleri ve Ek Yazılar

· Trend Micro firmasının elde ettiği IoC’ye buradan ulaşabilirsiniz.

· Rapid7 firmasının Turla değerlendirmesi ve elde ettiği IoC’lere buradan ulaşabilirsiniz.

· 14 Şubat 2024 tarihli Dark Reading yazısı: Russian APT Turla Wields Novel Backdoor Malware Against Polish NGOs

· 15 Şubat 2024 tarihli Cisco Talos tarafından yayınlanan “TinyTurla New Generation” yazısına buradan ulaşabilirsiniz.

· 21 Eylül 2021 tarihli Cisco Talo tarafından yayınlanan “TinyTurla” yazısına buradan ulaşabilirsiniz.

· SOCRadar detaylı Turla yazısına buradan ulaşabilirsiniz.

· CISA: Hunting Russian Intelligence “Snake” Malware

· Carbon zararlısı saldırı akışı

· Snake zararlısı saldırı akışı

· IBM QRadar Turla eklentisi yapı taşları ve kuralları

KAYNAKÇA

· https://attack.mitre.org/groups/G0010/

· https://www.trendmicro.com/en_us/research/23/i/examining-the-activities-of-the-turla-group.html

· https://docs.rapid7.com/insightidr/turla/

· https://en.wikipedia.org/wiki/Turla_(malware)

· https://www.kaspersky.com/resource-center/threats/epic-turla-snake-malware-attacks

· https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment/

No comments:

Post a Comment

Pages