Пов’язана з Росією група кіберзагроз Turla, яка є частиною угруповань розширеної постійної загрози (APT), була викрита у кампанії, що передбачала проникнення в сервери управління та контролю (C2) пакистанської хакерської групи Storm-0156 для проведення власних операцій із 2022 року.
Згідно з даними Black Lotus Labs від Lumen Technologies, ця діяльність, вперше зафіксована у грудні 2022 року, є прикладом того, як держава-агресор “вбудовується” у шкідливі операції інших груп для досягнення власних цілей і ускладнення атрибуції атак.
“У грудні 2022 року Secret Blizzard отримала початковий доступ до сервера Storm-0156 C2, а до середини 2023 року розширила контроль на кілька серверів C2, пов’язаних із Storm-0156,” — зазначено у звіті.
Використання серверів Storm-0156
Turla скористалася доступом до серверів Storm-0156, щоб розгорнути власні шкідливі програми, такі як TwoDash та Statuezy, у мережах афганських урядових установ. TwoDash є інструментом-завантажувачем, а Statuezy — троянцем, що відстежує дані, збережені в буфері обміну Windows.
Компанія Microsoft Threat Intelligence також підтвердила, що Turla використовує інфраструктуру Storm-0156, яка збігається з активністю груп SideCopy та Transparent Tribe, що діють у Південній Азії.
“Трафік C2 Secret Blizzard походив із інфраструктури Storm-0156, включаючи сервери, які Storm-0156 використовувала для збору ексфільтрованих даних у кампаніях в Афганістані та Індії,” — зазначила Microsoft.
Turla та її тактика
Група Turla, також відома як Secret Blizzard, Snake, Venomous Bear, та інші назви, вважається пов’язаною з Федеральною службою безпеки (ФСБ) Росії. За майже 30 років своєї діяльності Turla використовувала різноманітний набір інструментів, включаючи Snake, ComRAT, Carbon, та інші. Основними цілями є урядові, дипломатичні та військові організації.
Ця група має історію використання інфраструктури інших загроз. Наприклад, у 2019 році вона використовувала бекдори іранської APT-групи для власних розвідувальних цілей, а у 2023 році — інфраструктуру зловмисного ПЗ ANDROMEDA для розгортання своїх інструментів в Україні.
Ескалація кампанії в Південній Азії
Останні атаки, зафіксовані Black Lotus Labs та Microsoft, показують, що Turla використовувала сервери Storm-0156 для розгортання бекдорів у пристроях афганських урядових установ, а також для доступу до даних індійських військових і оборонних організацій. Крім того, Turla зуміла отримати контроль над бекдорами Storm-0156, зокрема Crimson RAT і новим інструментом на базі Golang, який отримав назву Wainscot.
Зокрема, у березні 2024 року Storm-0156 розгорнула інфекцію Crimson RAT, яку Turla використала в серпні 2024 року для завантаження TwoDash. Іншим розгорнутим інструментом став завантажувач MiniPocket, який з’єднується із заздалегідь заданою IP-адресою для отримання другого етапу шкідливого ПЗ.
Стратегія Turla
Зловмисники також проникли на робочу станцію операторів Storm-0156, використовуючи довірчі зв’язки для отримання інформації про їхні інструменти, облікові дані C2 та ексфільтровані дані.
“Це дозволяє Secret Blizzard збирати розвіддані про цілі Storm-0156 у Південній Азії без прямого втручання,” — пояснили у Microsoft.
Ця тактика дозволяє Turla мінімізувати зусилля для проникнення в мережі, але зібрана інформація не завжди відповідає їхнім розвідувальним пріоритетам.
