Turla APT IOCs - Part 6

security IOC

Исследователи из лаборатории Black Lotus Labs компании Lumen в сотрудничестве с группой разведки угроз Microsoft обнаружили, что группа кибершпионажа Turla (Secret Blizzard), с декабря 2022 года взламывает инфраструктуру пакистанского злоумышленника Storm-0156. Эта кампания демонстрирует стратегию Secret Blizzard по внедрению в операции других злоумышленников для осуществления шпионажа, избегая при этом атрибуции.

Turla APT

Получив доступ к командно-контрольным (C2) серверам Storm-0156, Secret Blizzard использовала эту инфраструктуру для развертывания пользовательских вредоносных программ, таких как «TwoDash» и «Statuezy», направленных на афганские правительственные сети. К апрелю 2023 года они расширили свои операции, получив доступ к рабочим станциям пакистанских операторов, что привело к утечке ценных данных, включая учетные данные, удаленные файлы и артефакты вредоносного ПО. Этот доступ позволил Secret Blizzard получить такие инструменты, как CrimsonRAT и Waiscot, которые впоследствии использовались в дополнительных операциях. CrimsonRAT, известный своим применением против индийских правительственных и военных целей, был использован для расширения деятельности Secret Blizzard по сбору информации.

Secret Blizzard действовала путем компрометации 33 узлов C2 Storm-0156, используя их в качестве опорных точек для своей шпионской деятельности. Вероятно, они использовали передовые методы, такие как протокол удаленного рабочего стола (RDP), для выявления новых узлов и сбора разведданных. Их операции отличались постоянными подключениями к афганским сетям через определенные IP-адреса, привязанные к контролируемым Secret Blizzard узлам C2. Эти соединения были активны в течение длительного времени, при этом наблюдалась значительная передача данных, что говорит о систематической стратегии сбора информации. Кроме того, Secret Blizzard поддерживала оперативную безопасность, часто меняя свою инфраструктуру C2 в 2024 году, что еще больше усложняло атрибуцию.

Indicators of Compromise

IPv4

  • 144.126.152.205
  • 144.126.154.84
  • 173.249.18.251
  • 209.126.6.227
  • 209.126.81.42
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий