olarak bilinen Rusya bağlantılı gelişmiş kalıcı tehdit (APT) grubu Turla 2022’den bu yana kendi operasyonlarını yürütmek üzere Storm-0156 adlı Pakistan merkezli bir bilgisayar korsanlığı grubunun komuta ve kontrol (C2) sunucularına sızmayı içeren, daha önce belgelenmemiş bir kampanyayla bağlantılı olduğu ortaya çıktı.
Lumen Technologies Black Lotus Labs, ilk olarak Aralık 2022’de gözlemlenen faaliyetin, ulus devlet düşmanının kendi hedeflerini ve bulut ilişkilendirme çabalarını ilerletmek için başka bir grubun kötü niyetli operasyonlarına “yerleşmesi”nin en son örneği olduğunu söyledi.
Şirket, “Aralık 2022’de, Secret Blizzard ilk olarak Storm-0156 C2 sunucusuna erişim elde etti ve 2023’ün ortalarında kontrolünü Storm-0156 aktörüyle ilişkili bir dizi C2’ye kadar genişletti.” söz konusu The Hacker News ile paylaşılan bir raporda.
Turla’nın bu sunuculara erişimlerini kullanarak, Storm-0156 tarafından halihazırda düzenlenen izinsiz girişlerden yararlanarak özel kötü amaçlı yazılım ailelerini dağıttığı tespit edildi. İki Çizgi ve çeşitli Afgan devlet kurumlarıyla ilişkili belirli sayıda ağda Statuszy. TwoDash ısmarlama bir indiricidir, Heykelzy ise Windows panosuna kaydedilen verileri izleyen ve günlüğe kaydeden bir truva atıdır.
Bulgularını kampanyaya da aktaran Microsoft Tehdit İstihbaratı ekibi, Turla’nın, SideCopy ve Transparent Tribe olarak takip edilen etkinlik kümeleriyle örtüşen Storm-0156’ya bağlı altyapıyı kullanmaya başladığını söyledi.
Microsoft, “Gizli Blizzard komuta ve kontrol (C2) trafiği, Storm-0156 altyapısından kaynaklanıyor; buna Storm-0156 tarafından Afganistan ve Hindistan’daki kampanyalardan sızdırılan verileri derlemek için kullanılan altyapı da dahil.” söz konusu yayınla paylaşılan koordineli bir raporda.
Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (eski adıyla Kripton), Snake, SUMMIT, Uroburos, Venomous Bear ve Waterbug isimleriyle de bilinen Turla’nın Rusya Federal Güvenlik Servisi’ne (FSB) bağlı olduğu değerlendiriliyor.
Yaklaşık 30 yıldır faaliyet gösteren tehdit aktörü, çeşitli ve gelişmiş araç setiYılan, ComRAT dahil, KarbonKoltuk değneği, Kazuar, HyperStack (aka BigBoss) ve TinyTurla. Öncelikle hükümet, diplomatik ve askeri kuruluşları hedef alıyor.
Grubun ayrıca diğer tehdit aktörlerinin altyapılarını kendi amaçları doğrultusunda ele geçirme geçmişi de bulunuyor. Ekim 2019’da Birleşik Krallık ve ABD hükümetleri açıklığa kavuşmuş Turla’nın İranlı bir tehdit aktörünün arka kapılarını kullanarak kendi istihbarat gereksinimlerini karşılaması.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) o dönemde “Turla, kendi araçlarını ilgi mağdurlarına dağıtmak için İran APT’lerinin komuta ve kontrol (C2) altyapısına erişti ve kullandı.” dedi. Windows üreticisi o zamandan beri İranlı bilgisayar korsanlığı grubunun OilRig olduğunu belirledi.
Daha sonra Ocak 2023’te Google’ın sahibi olduğu Mandiant, Turla’nın Ukrayna’daki hedeflere kendi keşif ve arka kapı araçlarını sunmak için ANDROMEDA adlı ticari amaçlı kötü amaçlı yazılım tarafından kullanılan saldırı altyapısını kullandığını belirtti.
Turla’nın farklı bir saldırganın aracını yeniden kullandığı üçüncü örnek, Kaspersky tarafından Nisan 2023’te, Storm-0473 olarak takip edilen Kazakistan merkezli bir tehdit aktörüne atfedilen Tomiris arka kapısının Eylül 2022’de QUIETCANARY’yi dağıtmak için kullanıldığı belgelendi.
Microsoft, “Secret Blizzard’ın diğer tehdit aktörlerinin altyapısını veya araçlarını ele geçirme veya ele geçirme operasyonlarının sıklığı, bunun Secret Blizzard’ın taktik ve tekniklerinin kasıtlı bir bileşeni olduğunu gösteriyor” dedi.
Black Lotus Labs ve Microsoft tarafından tespit edilen son saldırı kampanyası, tehdit aktörünün Afgan hükümeti cihazlarına arka kapılar dağıtmak için Storm-0156 C2 sunucularını kullandığını, Hindistan’da ise Hindistan askeri ve savunmayla ilgili kurumlardan sızdırılmış verileri barındıran C2 sunucularını hedef aldığını gösteriyor.
Storm-0156 C2 sunucularının ele geçirilmesi, Turla’nın eski sunucunun Crimson RAT gibi arka kapılarına ve Wainscot adlı daha önce belgelenmemiş bir Golang implantına el koymasına da olanak sağladı. Black Lotus Labs, The Hacker News’e sunucuların ilk etapta nasıl ele geçirildiğinin henüz bilinmediğini söyledi.
Redmond, özellikle Turla’nın, Ağustos 2024’te TwoDash’i indirmek ve çalıştırmak için Storm-0156’nın Mart 2024’te oluşturduğu Crimson RAT enfeksiyonunu kullandığını gözlemlediğini söyledi. Ayrıca kurban ağlarında TwoDash ile birlikte, sabit kodlu bir bilgisayara bağlanan MiniPocket adlı başka bir özel indirici de konuşlandırıldı. İkinci aşama ikili dosyayı almak ve çalıştırmak için TCP kullanan IP adresi/bağlantı noktası.
Kremlin destekli saldırganların ayrıca, araçlarına, C2 kimlik bilgilerine ve önceki operasyonlardan toplanan sızdırılmış verilere ilişkin değerli istihbarat elde etmek amacıyla güven ilişkisini kötüye kullanarak Storm-0156 operatörünün iş istasyonuna yatay olarak geçtikleri söyleniyor. kampanyanın arttırılması.
Microsoft, “Bu, Secret Blizzard’ın Storm-0156’nın Güney Asya’daki ilgi çekici hedefleri hakkında, bu kuruluşları doğrudan hedeflemeden istihbarat toplamasına olanak tanıyor” dedi.
“Başkalarının kampanyalarından yararlanmak, Secret Blizzard’ın göreceli olarak minimum çabayla ilgi ağları üzerinde dayanak noktası oluşturmasına olanak tanıyor. Ancak bu ilk dayanak noktası, başka bir tehdit aktörünün ilgi hedefleri üzerinde oluşturulduğundan, bu teknik aracılığıyla elde edilen bilgiler, Secret Blizzard’ın koleksiyon öncelikleri.”