Le groupe de menaces persistantes avancées (APT) lié à la Russie, connu sous le nom de Turla a été lié à une campagne jusqu’alors non documentée qui impliquait l’infiltration des serveurs de commande et de contrôle (C2) d’un groupe de hackers basé au Pakistan nommé Storm-0156 pour mener ses propres opérations depuis 2022.
Cette activité, observée pour la première fois en décembre 2022, est le dernier exemple d’adversaire état-nation « s’intégrant » dans les opérations malveillantes d’un autre groupe pour promouvoir ses propres objectifs et ses efforts d’attribution cloud, a déclaré Lumen Technologies Black Lotus Labs.
“En décembre 2022, Secret Blizzard a initialement eu accès à un serveur Storm-0156 C2 et, à la mi-2023, a étendu son contrôle à un certain nombre de C2 associés à l’acteur Storm-0156”, a déclaré la société. dit dans un rapport partagé avec The Hacker News.
En exploitant son accès à ces serveurs, Turla a profité des intrusions déjà orchestrées par Storm-0156 pour déployer des familles de logiciels malveillants personnalisés appelées DeuxDash et Statuezy dans un certain nombre de réseaux liés à diverses entités gouvernementales afghanes. TwoDash est un téléchargeur sur mesure, tandis que Statuezy est un cheval de Troie qui surveille et enregistre les données enregistrées dans le presse-papiers de Windows.
L’équipe Microsoft Threat Intelligence, qui a également publié ses conclusions dans le cadre de la campagne, a déclaré que Turla avait utilisé une infrastructure liée à Storm-0156, qui chevauche des clusters d’activités suivis comme SideCopy et Transparent Tribe.
“Le trafic de commande et de contrôle (C2) secret Blizzard émanait de l’infrastructure de Storm-0156, y compris l’infrastructure utilisée par Storm-0156 pour rassembler les données exfiltrées des campagnes en Afghanistan et en Inde”, Microsoft dit dans un rapport coordonné partagé avec la publication.
Turla, également connu sous les noms de Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (anciennement Krypton), Snake, SUMMIT, Uroburos, Venomous Bear et Waterbug, est considéré comme étant affilié au Service fédéral de sécurité (FSB) de Russie.
Actif depuis près de 30 ans, l’acteur menaçant emploie un ensemble d’outils diversifiés et sophistiquésdont Snake, ComRAT, CarboneBéquille, Kazuar, HyperStack (alias BigBoss) et TinyTurla. Il cible principalement les organisations gouvernementales, diplomatiques et militaires.
Le groupe a également l’habitude de détourner l’infrastructure d’autres acteurs menaçants à ses propres fins. En octobre 2019, les gouvernements britannique et américain révélé L’exploitation par Turla des portes dérobées d’un acteur menaçant iranien pour répondre à ses propres besoins en matière de renseignement.
“Turla a accédé et utilisé l’infrastructure de commandement et de contrôle (C2) des APT iraniennes pour déployer leurs propres outils auprès des victimes d’intérêt”, notait à l’époque le Centre national de cybersécurité (NCSC) du Royaume-Uni. Le fabricant de Windows a depuis identifié le groupe de piratage iranien comme étant OilRig.
Puis, en janvier 2023, Mandiant, propriété de Google, a noté que Turla s’était appuyé sur l’infrastructure d’attaque utilisée par un malware de base appelé ANDROMEDA pour fournir ses propres outils de reconnaissance et de porte dérobée à des cibles en Ukraine.
Le troisième cas de Turla réutilisant l’outil d’un attaquant différent a été documenté par Kaspersky en avril 2023, lorsque la porte dérobée Tomiris – attribuée à un acteur malveillant basé au Kazakhstan et suivi sous le nom de Storm-0473 – a été utilisée pour déployer QUIETCANARY en septembre 2022.
“La fréquence des opérations de Secret Blizzard visant à coopter ou à réquisitionner l’infrastructure ou les outils d’autres acteurs de la menace suggère qu’il s’agit d’une composante intentionnelle des tactiques et techniques de Secret Blizzard”, a noté Microsoft.
La dernière campagne d’attaque détectée par Black Lotus Labs et Microsoft montre que l’acteur malveillant a utilisé des serveurs Storm-0156 C2 pour déployer des portes dérobées sur les appareils du gouvernement afghan, tandis qu’en Inde, il a ciblé des serveurs C2 hébergeant des données exfiltrées d’institutions militaires et de défense indiennes.
La compromission des serveurs Storm-0156 C2 a également permis à Turla de réquisitionner les portes dérobées du premier telles que Crimson RAT et un implant Golang jusqu’alors non documenté baptisé Wainscot. Black Lotus Labs a déclaré à The Hacker News qu’on ne sait actuellement pas comment les serveurs ont été compromis en premier lieu.
Plus précisément, Redmond a déclaré avoir observé Turla utilisant une infection Crimson RAT que Storm-0156 avait créée en mars 2024 pour télécharger et exécuter TwoDash en août 2024. Un autre téléchargeur personnalisé appelé MiniPocket est également déployé dans les réseaux des victimes aux côtés de TwoDash. Adresse IP/port utilisant TCP pour récupérer et exécuter un binaire de deuxième étape.
Les attaquants soutenus par le Kremlin se seraient en outre déplacés latéralement vers le poste de travail de l’opérateur du Storm-0156 en abusant probablement d’une relation de confiance pour obtenir des renseignements précieux concernant leurs outils, leurs informations d’identification C2, ainsi que des données exfiltrées collectées lors d’opérations antérieures, signalant un risque important. escalade de la campagne.
“Cela permet à Secret Blizzard de collecter des renseignements sur les cibles d’intérêt de la tempête-0156 en Asie du Sud sans cibler directement ces organisations”, a déclaré Microsoft.
“Profiter des campagnes des autres permet à Secret Blizzard de prendre pied sur des réseaux d’intérêt avec un effort relativement minime. Cependant, étant donné que ces points d’ancrage initiaux sont établis sur les cibles d’intérêt d’un autre acteur menaçant, les informations obtenues grâce à cette technique peuvent ne pas correspondre entièrement à celles d’autres acteurs. Les priorités de collection de Secret Blizzard.”