El grupo de amenaza persistente avanzada (APT, por sus siglas en inglés) vinculado a Rusia, conocido como Turla se ha vinculado a una campaña previamente indocumentada que implicó infiltrarse en los servidores de comando y control (C2) de un grupo de piratería con sede en Pakistán llamado Storm-0156 para realizar sus propias operaciones desde 2022.
La actividad, observada por primera vez en diciembre de 2022, es el último ejemplo en el que el adversario-estado-nación se “incorpora” en las operaciones maliciosas de otro grupo para promover sus propios objetivos y esfuerzos de atribución de la nube, dijo Lumen Technologies Black Lotus Labs.
“En diciembre de 2022, Secret Blizzard obtuvo inicialmente acceso a un servidor Storm-0156 C2 y, a mediados de 2023, había ampliado su control a varios C2 asociados con el actor Storm-0156”, dijo la compañía. dicho en un informe compartido con The Hacker News.
Al aprovechar su acceso a estos servidores, se ha descubierto que Turla aprovecha las intrusiones ya orquestadas por Storm-0156 para implementar familias de malware personalizadas denominadas DosDash y Estatuazy en un número selecto de redes relacionadas con varias entidades del gobierno afgano. TwoDash es un descargador personalizado, mientras que Estatuazy es un troyano que monitorea y registra los datos guardados en el portapapeles de Windows.
El equipo de Microsoft Threat Intelligence, que también publicó sus hallazgos sobre la campaña, dijo que Turla ha utilizado la infraestructura vinculada a Storm-0156, que se superpone con grupos de actividad rastreados como SideCopy y Transparent Tribe.
“El tráfico secreto de comando y control (C2) de Blizzard emanó de la infraestructura de Storm-0156, incluida la infraestructura utilizada por Storm-0156 para recopilar datos exfiltrados de campañas en Afganistán e India”, Microsoft dicho en un informe coordinado compartido con la publicación.
Se considera que Turla, también conocida con los nombres Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, SUMMIT, Uroburos, Venomous Bear y Waterbug, está afiliada al Servicio Federal de Seguridad de Rusia (FSB).
Activo desde hace casi 30 años, el actor de amenazas emplea un conjunto de herramientas diverso y sofisticadoincluidos Snake, ComRAT, CarbónMuleta, Kazuar, Hiperpila (también conocido como BigBoss) y TinyTurla. Se dirige principalmente a organizaciones gubernamentales, diplomáticas y militares.
El grupo también tiene un historial de secuestrar la infraestructura de otros actores de amenazas para sus propios fines. En octubre de 2019, los gobiernos del Reino Unido y EE. UU. reveló La explotación por parte de Turla de las puertas traseras de un actor de amenazas iraní para promover sus propios requisitos de inteligencia.
“Turla accedió y utilizó la infraestructura de comando y control (C2) de las APT iraníes para desplegar sus propias herramientas para las víctimas de interés”, señaló en ese momento el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC). Desde entonces, el fabricante de Windows ha identificado al grupo de hackers iraní como OilRig.
Luego, en enero de 2023, Mandiant, propiedad de Google, señaló que Turla se había aprovechado de la infraestructura de ataque utilizada por un malware básico llamado ANDROMEDA para entregar sus propias herramientas de reconocimiento y puerta trasera a objetivos en Ucrania.
Kaspersky documentó el tercer caso en el que Turla reutilizó la herramienta de un atacante diferente en abril de 2023, cuando la puerta trasera Tomiris, atribuida a un actor de amenazas con sede en Kazajstán rastreado como Storm-0473, se utilizó para implementar QUIETCANARY en septiembre de 2022.
“La frecuencia de las operaciones de Secret Blizzard para cooptar o apoderarse de la infraestructura o herramientas de otros actores de amenazas sugiere que este es un componente intencional de las tácticas y técnicas de Secret Blizzard”, señaló Microsoft.
La última campaña de ataque detectada por Black Lotus Labs y Microsoft muestra que el actor de amenazas utilizó servidores Storm-0156 C2 para implementar puertas traseras en dispositivos del gobierno afgano, mientras que en India, apuntaron a servidores C2 que albergaban datos exfiltrados de instituciones militares y relacionadas con la defensa de la India.
El compromiso de los servidores Storm-0156 C2 también le ha permitido a Turla apoderarse de las puertas traseras del primero, como Crimson RAT y un implante Golang previamente indocumentado denominado Wainscot. Black Lotus Labs le dijo a The Hacker News que actualmente no se sabe cómo se vieron comprometidos los servidores en primer lugar.
Específicamente, Redmond dijo que observó a Turla usando una infección Crimson RAT que Storm-0156 había establecido en marzo de 2024 para descargar y ejecutar TwoDash en agosto de 2024. También se implementa en las redes de víctimas junto con TwoDash otro descargador personalizado llamado MiniPocket que se conecta a un código fijo. Dirección IP/puerto que utiliza TCP para recuperar y ejecutar un binario de segunda etapa.
Se dice además que los atacantes respaldados por el Kremlin se movieron lateralmente a la estación de trabajo del operador Storm-0156 probablemente abusando de una relación de confianza para obtener inteligencia valiosa relacionada con sus herramientas, credenciales C2, así como datos extraídos recopilados de operaciones anteriores, lo que indica una importante Escalada de la campaña.
“Esto permite a Secret Blizzard recopilar inteligencia sobre los objetivos de interés de Storm-0156 en el sur de Asia sin apuntar directamente a esas organizaciones”, dijo Microsoft.
“Aprovechar las campañas de otros permite a Secret Blizzard establecer puntos de apoyo en redes de interés con un esfuerzo relativamente mínimo. Sin embargo, debido a que estos puntos de apoyo iniciales se establecen en los objetivos de interés de otro actor de amenazas, la información obtenida a través de esta técnica puede no alinearse completamente con Las prioridades de colección de Secret Blizzard.”