Saldırganlar kurbanlara bulaşmak için hem doğrudan hedef odaklı SpearPhishing e-postalarını hem de WateringHole saldırılarını kullanıyor. WateringHole potansiyel kurbanların sıklıkla ziyaret ettiği web siteleridir. Bu web siteleri saldırganlar tarafından önceden ele geçirilir ve kötü amaçlı kod sunmak üzere enjekte edilir. Saldırganlar, ziyaretçinin IP adresine (örneğin bir devlet kuruluşunun IP’si) bağlı olarak Java veya tarayıcı açıklarından yararlanma, imzalı sahte Adobe Flash Player yazılımı veya Microsoft Security Essentials’ın sahte bir sürümünü sunar.
KARPERSKY 100'den fazla enjekte edilmiş web sitesi olduğunu gözlemlemiştir. Web sitelerinin seçimi saldırganların özel ilgisini yansıtıyor. Örneğin, virüs bulaşmış İspanyol web sitelerinin çoğu yerel yönetimlere aittir. Kullanıcıya virüs bulaştığında Backdoor, kurbanın sistem bilgilerini içeren bir paket göndermek için hemen komuta ve kontrol (C&C) sunucusuna bağlanır. Sonrasında önceden konfigüre edilmiş komut dosyaları sisteme yüklenir. Bunlara ek olarak saldırganlar LateralMovement sağlamak için keylogger, DNS sorgu aracı gibi özel olarak hazırlanmış araçları da sisteme yüklerler.
Turla’nın kötü bir üne sahip olması; Yılan, Zehirli Ayı, Beyaz Ayı, Uroburos, Grup 88 ve Su Böceği gibi, hepsi devlet kurumlarını, istihbarat teşkilatlarının yanı sıra askeri, eğitim, araştırma ve kurumları hedef aldığı bilinen birinci sınıf RootKit’lerden gelmektedir. Diğer APT grupları gibi Turla da kendine özel tasarlanmış karmaşık araçlara sahiptir. Ancak Turla’yı çağdaşlarından ayıran şey, tehdit aktörünün saldırının ilerleyen aşamalarında kullandığı uydu tabanlı komuta ve kontrol (C&C) mekanizması ve tespit edilmeme yeteneğidir. Turla’nın casusluk platformu öncelikle Windows sistemlerine karşı kullanılıyor ancak macOS ve Linux sistemlerine karşı da kullanılmaktadır.
Johns Hopkins Üniversitesi’nden profesör Thomas Rid’e göre grup muhtemelen 1990'ların sonlarından beri faaliyet gösteriyor. Ars Technica’dan Dan Goodin, Turla’yı “Rus casusları” olarak tanımladı. Turla’ya o zamandan beri Yılan, Kripton ve Zehirli Ayı gibi başka isimler de verildi.
Mayıs 2023'te Amerika Birleşik Devletleri Adalet Bakanlığı, ABD’nin kötü amaçlı yazılımın bulaştığı makinelere sızmayı başardığını ve kötü amaçlı yazılımın kendisini silmesini emreden bir komut yayınladığını duyurdu. FBI ve Adalet Bakanlığı’nın beyanları, grubun Ryazan’daki Rusya Federal Güvenlik Servisi Merkezi 16 grubunun bir parçası olduğunu ortaya çıkardı.
TURLA FAALİYETLERİ
Ağustos 2014
Turla’nın birkaç yıldır aktif olduğu bilinmesine rağmen enfeksiyon vektörü soru işareti oluşturuyordu. 2014 yılında yapılan araştırma, Epic’in (Turla tarafından kullanılan bir kötü amaçlı yazılım ailesi) kullanıldığı ve kampanyanın Epic Turla olarak adlandırıldığı karmaşık, çok aşamalı bir saldırının gerçekleştirildiğini gösterdi. CVE-2013–5065 ve CVE-2013–3346 güvenlik açıklarından yararlanan saldırılarda, Adobe PDF açıklarından yararlanan SpearPhishing e-postaları ve Java açıklarından yararlanan WateringHole teknikleri (CVE-2012–1723) kullanıldı. Bu kampanyanın en önemli özelliği Turla’nın Carbon/Cobra gibi daha karmaşık arka kapıları kullanmasıydı, grup bazen yükü dağıtmak için her iki arka kapıyı da kullanıyordu.
Kullanılan Taktik ve Teknikler:
· İlk Giriş (Initial Access)
o T1189 (Drive-by Compromise)
o T1566 (Phishing)
· Çalıştırma (Execution)
o T1204.002 (User Execution: Malicious File)
Aralık 2014
Önceki Turla kampanyaları Windows tabanlı makineleri hedef alacak şekilde tasarlanırken, Ağustos 2014'teki kampanya Turla’nın Linux işletim sistemini hedeflediği ilk örnek oldu. Penguin Turla olarak adlandırılan grup, birden fazla kitaplığa statik olarak bağlanan C/C++ yürütülebilir dosyasına sahip bir Linux Turla modülü kullandı ve bu kampanya için dosya boyutunu büyük ölçüde artırdı.
Ocak 2016
Waterbug (devlet destekli bir grup olduğu iddia edilen) adlı bir grup tehdit aktörü, sıfır gün güvenlik açığından, özellikle de Windows Çekirdeği NDProxy.sys yerel yetki yükseltme güvenlik açığı CVE-2013–5065'ten yararlanmak için Trojan.Turla ve Trojan.Wipbot’un varyantlarını kullandı. Bir araştırma, saldırganların, kötü amaçlı eklentiler içeren özel hazırlanmış e-postalar ve kötü amaçlı veriler dağıtmak için güvenliği ihlal edilmiş bir dizi web sitesi kullandığını ileri sürdü.
Mart 2017
2017 yılında ESET, Carbon olarak bilinen ikinci aşama bir Backdoor olan Turla kötü amaçlı yazılımının gelişmiş bir çeşidi hakkında bir araştırma yazısı yayınladı. Carbon saldırısı, başlangıçta kurbanın SpearPhishing e-postası almasını veya WateringHole olarak da bilinen, güvenliği ihlal edilmiş bir web sitesini ziyaret etmesini içerir.
Bunu daha sonra Tavdig veya Skipper gibi birinci aşama bir Backdoor kurulumu takip eder. İkinci aşamadaki arka kapı Carbon, yenilenme faaliyetleri tamamlandıktan sonra kilit sistemlere kurulur. Carbon, yapılandırma dosyasını yüklemek için bir Dropper’dan, C&C sunucusuyla iletişim kurmak için bir bileşenden, görevleri yerine getirmek ve bunları ağ üzerinde yanal olarak taşımak için bir orkestratörden ve orkestratörü yürütmek için bir yükleyiciden oluşur.
Mayıs 2017
Mayıs 2017'de Kazuar adlı yeni bir Backdoor Trojan, Turla grubuyla ilişkilendirildi. Microsoft .NET Framework kullanılarak yazılan Kazuar, ek eklentileri uzaktan yükleyebilen son derece işlevsel komut setleri içerir. Kazuar, sistem ve kötü amaçlı yazılım dosya adı bilgilerini toplar ve sistemde aynı anda kötü amaçlı yazılımın yalnızca bir örneğinin yürütülmesini sağlamak için bir muteks oluşturur. Daha sonra Windows başlangıç klasörüne bir LNK dosyası ekler.
Kazuar’da ayarlanan komutların çoğunluğu diğer Backdoor Trojan’lara benzer özellikleri paylaşıyor. Örneğin, ‘tasklist’ komutu, Windows’tan çalışan işlemi almak için bir Windows Management Instrumentation (WMI) sorgusu kullanırken, ‘info’ komutu açılan pencereler hakkında bilgi toplamak için kullanılır. Ayrıca Kazuar’ın ‘cmd’ komutu, Windows sistemleri için cmd.exe ve Unix sistemleri için /bin/bash kullanarak komutları çalıştıracak. Bu komutlar, Kazuar’ın hem Windows hem de Unix sistemlerini hedef alan çapraz platformlu bir kötü amaçlı yazılım olarak tasarlandığını güçlü bir şekilde ortaya koyuyor.
2021'in başlarında yapılan araştırma, SUNBURST ve Kazuar Backdor’ları arasında birçok benzerlik olduğunu ortaya çıkardı.
Kullanılan Taktik ve Teknikler:
· Çalıştırma (Execution)
o T1047 (WMI)
· Kalıcılık (Persistence)
o T1547.009 (Boot or Logon Autostart Execution: Shortcut Modification)
· Keşif (Discovery)
o T1010 (Application Window Discovery)
Ağustos 2017
Ağustos ayında Turla, kurbanların daha kesin bir şekilde hedeflenmesi için WateringHole saldırılarına ve SpearPhishing kampanyalarına dayanan, Gazer olarak bilinen, C++ ile yazılmış yeni bir ikinci aşama Backdoor tanıttı. Gazer’ın daha gizli olmasının yanı sıra, daha önce kullanılan Carbon ve Kazuar gibi ikinci aşama arka kapılarla pek çok benzerliğe sahip olduğu görüldü.
Bu kampanyanın tanımlayıcı özelliği kodun tamamına “video oyunuyla ilgili” cümlelerin eklenmesiydi. Turla, Gazer’in C&C sunucusunu 3DES ve RSA kütüphanelerini kullanarak şifreliyor.
Kullanılan Taktik ve Teknikler:
· Komuta ve Kontrol (Command and Control)
o T1573 (Encrypted Channel)
Ocak 2018
2018 tarihli bir istihbarat raporu, Turla’nın, özellikle Mail ve Web sunucularına odaklanarak Windows makinelerini hedeflemek için Snake rootkit ile birlikte Neuron ve Nautilus olarak bilinen yeni kötü amaçlı araçları kullandığını ileri sürdü. Turla, şifrelenmiş HTTP çerez değerleri kullanılarak iletilen komutlar ile ASPX kabuğunu taramak için mevcut Snake kurbanlarından yararlandı. Ayrıca Turla’nın, ek araçları konuşlandırmak amacıyla hedef sisteme tutunmak için ASPX Shell kullandığından da bahsedildi.
Ağustos 2018
Turla, son derece hassas bilgilere erişmek amacıyla bir Backdoor aracılığıyla Avrupa hükümetlerinin dış ofislerini hedef aldı. Kampanya tüm giden e-postaları saldırganlara ileterek Microsoft Outlook ve The Bat’ı hedef aldı! (öncelikle Doğu Avrupa’da kullanılan popüler bir posta istemcisi). Arka kapı, özel hazırlanmış PDF belgeleri kullanarak veri sızdırmak için e-posta mesajlarını kullandı. Ayrıca e-posta mesajlarını C&C sunucusu için aktarım katmanı olarak kullandı.
Haziran 2019
OilRig, genellikle Orta Doğu’daki devlet kurumlarını ve kuruluşlarını hedef alan İran bağlantılı bir APT grubudur. Önceki araştırmalar, Turla grubunun OilRig’in altyapısını kullanarak bir hedefi ele geçirdiğini öne sürüyor. Kampanya, Mimikatz aracının büyük ölçüde değiştirilmiş, özel bir versiyonunun ve ayrıca birkaç yeni arka kapı içeren yeni bir araç setinin kullanıldığını gördü. Kampanyanın sonraki aşamalarında Turla grubu, PowerShell komut dosyalarını (powershell.exe kullanmadan) yürütmek için halka açık PowerShell Runner aracından gelen kodu içeren farklı bir uzaktan prosedür çağrısı (RPC) ile iletişim kuran Backdoor kullandı.
Mart 2020
Mart 2020'de güvenlik araştırmacıları Turla’nın WateringHole saldırıları kullanarak birden fazla Ermeni web sitesini hedef aldığını gözlemledi. Saldırıda kullanılan erişim yöntemleri bilinmese de bu web sitelerine kötü amaçlı JavaScript kodu yerleştirildi. Güvenliği ihlal edilen web sayfası daha sonra ikinci aşama kötü amaçlı JavaScript kodunu kurbanın tarayıcısına gönderdi ve onları kötü amaçlı bir flash yükleyici yüklemeleri için kandırdı. Turla daha sonra ikinci aşama kötü amaçlı yazılım için NetFlash (bir .NET indiricisi) ve PyFlash’ı kullandı.
Kullanılan Taktik ve Teknikler:
· İlk Giriş (Initial Access)
o T1189 (Drive-by Compromise)
· Çalıştırma (Execution)
o T1204 (User Execution)
· Kalıcılık (Persistence)
o T1053 (Scheduled Tasks)
· Keşif (Discovery)
o T1071 (Application Layer Protocol)
o T1573 (Encrypted Channel)
o T1571 (Non-Standard Port)
· Komuta ve Kontrol (Command and Kontrol)
o T1041 (Exfiltration over C2 Channel)
Mayıs 2020
Agent.BTZ olarak da bilinen ComRAT v4, Turla tarafından kullanılan ve C++ kullanılarak geliştirilen ve genellikle hassas belgeleri dışarı çıkarmak için kullanılan sanal bir FAT16 dosya sistemi kullanan bir uzaktan erişim Trojan’ıdır (RAT). PowerStallion PowerShell Backdoor gibi mevcut erişim yöntemleri kullanılarak dağıtılır. Ayrıca, C&C kanalları olarak HTTP ve e-postaları kullanır.
Kullanılan Taktik ve Teknikler:
· Çalıştırma (Execution)
o T1059 (Command and Scripting Interpreter)
· Kalıcılık (Persistence)
o T1053 (Scheduled Task/Job)
· Savunmadan Kaçınma (Defense Evasion)
o T1055 (Process Injection)
o T1112 (Modify Registiry)
o T1027 (Obfuscated Files or Information)
· Keşif (Discovery)
o T1069 (Permission Groups Discovery)
o T1033 (System Owner/User Discovey)
o T1082 (System Information Discovery)
o T1087 (Account Discovery)
o T1120 (Peripheral Device Discovery)
o T1135 (Network Device Discovery)
o T1016 (System Network Configuration Discovery)
· Toplama (Collection)
o T1213 (Data from Information Repositories)
· Komuta ve Kontrol (Command and Control)
o T1573 (Encrypted Channel)
o T1071 (Application Layer Protocol)
o T1102 (Web Services)
· Sızdırma (Exfiltration)
o T1048 (Exfiltration over alternative protocol)
Aralık 2020
Aralık 2020'de, Crutch adlı daha önce belgelenmemiş bir Backdoor ve belge hırsızı, Turla grubuna atfedildi. Görünüşe göre Crutch’ın eski sürümleri, resmi HTTP API’sini kullanarak sabit kodlu bir Dropbox hesabıyla iletişim kuran bir Backdoor içeriyordu. Dosyaların okunması ve yazılması, ek işlemlerin yürütülmesi ve Google Chrome, Mozilla Firefox veya Microsoft OneDrive’da DLL ele geçirme yoluyla kalıcılığın ayarlanması ile ilgili komutları yürütme yeteneğine sahipti.
Crutch v4'ün önemli özelliklerinden biri, yerel sürücülerde bulunan dosyaları Wget programının Windows sürümünü kullanarak (arka kapı komutlarına dayanan önceki sürümlerin aksine) otomatik olarak Dropbox depolama alanına yükleyebilmesidir.
Kullanılan Taktik ve Teknikler:
· İlk Giriş (Initial Access)
o T1072.003 (Valid Accounts: Local Accounts)
· Kalıclık (Persistence)
o T1053.005 (Scheduled Task/Job: Scheduled Task)
o T1574.001 (Hijack Execution Flow: DLL Search Order Hijacking)
· Savunmadan Kaçınma (Defense Evasion)
o T1036.004 (Masquerading: Masquerade Task or Service)
· Keşif (Discovery)
o T1120 (Peripheral Device Discovery)
· Toplama (Collection)
o T1025 (Data from Removable Media)
o T1074.001 (Data Staged: Local Data Staging)
o T1119 (Automated Collection)
o T1560.001 (Archive Collected Data: Archive via Utility)
· Komuta ve Kontrol (Command and Control)
o T1008 (Fallback Channels)
o T1074.001 (Application Layer Protocol: Web Protocols)
o T1102.002 (Web Service: Bidirectional Communication)
· Sızdırma (Exfiltration)
o T1020 (Automated Exfiltration)
o T1041 (Exfiltration over C2 Channel)
o T1567.002 (Exfiltration over Web Service: Exfiltration to Cloud Storage)
Eylül 2021
TinyTurla olarak bilinen yeni Turla Backdoor, muhtemelen birincil kötü amaçlı yazılım kaldırıldığında bile sisteme erişimi sürdürmek için ikincil bir seçenek olarak kullanıldı. Backdoor, Batch dosyası kullanılarak yüklenir ve Windows sistemlerinde bulunan w32time.dll dosyasını taklit etmeye çalışan w64time.dll adlı bir hizmet DLL’si biçiminde gelir.
Mayıs 2022
Turla’nın Mayıs 2022 kampanyası yalnızca keşif amaçlı kullanılmış ve herhangi bir kötü amaçlı kod kullanımı içermemiştir. Araştırmacılar, kurbanın kullandığı Microsoft Word uygulamasının sürümünü ve türünü yakalamak amacıyla HTTP aracılığıyla kendi kontrollü sunucusuna istek gerçekleştiren bir belge keşfetti. Elde edilen bilgiler daha sonra Microsoft Word sürümüne dayalı olarak belirli bir istismar oluşturmak için kullanılabilir.
Kullanılan Taktik ve Teknikler:
· Dış Keşif (Reconnaisance)
o T1592.002 (Gather Victim Host Information: Software)
o T1590.005 (Gather Victim Network Information: IP Addresses)
o T1598.003 (Phishing for Information: SpearPhishing Link)
Temmuz 2023
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA) Temmuz 2023'te yaptığı bir duyuru, Turla’nın Ukrayna savunma varlıklarına yönelik casusluk saldırıları için Capibar kötü amaçlı yazılımını ve Kazuar arka kapısını kullandığını ortaya çıkardı. Bu kampanyada Capibar istihbarat toplamak için kullanılırken Kazuar kimlik bilgileri hırsızlığı yaptı. Bu saldırı, Phishing saldırılarından yararlanarak diplomatik ve askeri kuruluşları hedef aldı.
Kullanılan Taktik ve Teknikler:
· Savunmadan Kaçınma (Defense Evasion)
o T1027 (Obfuscated Files or Information)
· Çalıştırma (Execution)
o T1059 (Command and Scripting Interpreter)
· Komuta ve Kontrol (Command and Control)
o T1053 (Scheduled Task/Job)
o T1105 (Ingress Tool Transfer)
· Sızdırma (Exfiltration)
o T1567 (Exfiltration over Web Service)
· Kalıcılık (Persistence)
o T1546 (Event Triggered Execution)
Faaliyetlerden Çıkarılan Sonuç ve Dersler
Turla grubu uzun bir faaliyet geçmişine sahip inatçı bir gruptur. Kökenleri, taktikleri ve hedefleri, yüksek vasıflı operatörlerin yer aldığı, iyi finanse edilen bir operasyona işaret ediyor. Turla, araçlarını ve tekniklerini yıllar içinde sürekli olarak geliştirmiştir ve muhtemelen bunları iyileştirmeye devam edecektir.
Turla gibi grupların oluşturduğu tehdit, kuruluşların ve hükümetlerin bilgi sahibi olarak, istihbarat paylaşarak ve hem grupların hem de bireylerin kendilerini bu tür tehdit aktörlerine karşı daha iyi korumalarına olanak tanıyacak güvenlik önlemlerini uygulayarak uyanık kalmalarının önemini vurguluyor.
Cortex XDR Uyarıları ile Hazırlanan Örnek MITRE Tablosu
MITRE ATT&CK tactic
MITRE ATT&CK technique
Resource Development
Acquire Infrastructure, Compromise Infrastructure, Develop Capabilities, Obtain Capabilities
Execution
Command and Scripting Interpreter, Native API, User Execution
Initial Access
Drive-by Compromise, Phishing, Valid Accounts
Persistence
Boot or Logon Autostart Execution, Event Triggered Execution, Valid Accounts
Privilege Escalation
Access Token Manipulation, Boot or Logon Autostart Execution, Event Triggered Execution, Exploitation for Privilege Escalation, Process Injection, Valid Accounts
Defense Evasion
Access Token Manipulation, Deobfuscate/Decode Files or Information, Impair Defenses, Modify Registry, Obfuscated Files or Information, Process Injection, Subvert Trust Controls, Valid Accounts
Credential Access
Brute Force, Credentials from Password Stores
Discovery
Account Discovery, File and Directory Discovery, Group Policy Discovery, Password Policy Discovery, Peripheral Device Discovery, Permission Groups Discovery, Process Discovery, Query Registry, Remote System Discovery, Software Discovery, System Information Discovery, System Network Configuration Discovery, System Network Connections Discovery, System Service Discovery
Lateral Movement
Lateral Tool Transfer, Remote Services
Collection
Archive Collected Data, Data from Information Repositories, Data from Local System, Data from Removable Media
Command and Control
Application Layer Protocol, Ingress Tool Transfer, Proxy, Web Service
Exfiltration
Güvenlik İhlali Göstergeleri ve Ek Yazılar
· Trend Micro firmasının elde ettiği IoC’ye buradan ulaşabilirsiniz.
· Rapid7 firmasının Turla değerlendirmesi ve elde ettiği IoC’lere buradan ulaşabilirsiniz.
· 14 Şubat 2024 tarihli Dark Reading yazısı: Russian APT Turla Wields Novel Backdoor Malware Against Polish NGOs
· 15 Şubat 2024 tarihli Cisco Talos tarafından yayınlanan “TinyTurla New Generation” yazısına buradan ulaşabilirsiniz.
· 21 Eylül 2021 tarihli Cisco Talo tarafından yayınlanan “TinyTurla” yazısına buradan ulaşabilirsiniz.
· SOCRadar detaylı Turla yazısına buradan ulaşabilirsiniz.
· CISA: Hunting Russian Intelligence “Snake” Malware
· Carbon zararlısı saldırı akışı
· Snake zararlısı saldırı akışı
· IBM QRadar Turla eklentisi yapı taşları ve kuralları
KAYNAKÇA
· https://attack.mitre.org/groups/G0010/
· https://www.trendmicro.com/en_us/research/23/i/examining-the-activities-of-the-turla-group.html
· https://docs.rapid7.com/insightidr/turla/
· https://en.wikipedia.org/wiki/Turla_(malware)
· https://www.kaspersky.com/resource-center/threats/epic-turla-snake-malware-attacks
· https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment/