Turla

OrigemRússia

Técnicas (MITRE ATT&CK)68

FonteMITRE ATT&CK

Também conhecido como:IRON HUNTERGroup 88WaterbugWhiteBearSnakeKryptonVenomous BearSecret BlizzardBELUGASTURGEON

Análise Vexday

Turla é um grupo de espionagem cibernética atribuído ao Serviço Federal de Segurança da Rússia (FSB), rastreado pelo MITRE ATT&CK sob o identificador G0010 e também conhecido pelos aliases IRON HUNTER, Group 88, Waterbug, WhiteBear, Snake e Krypton. O grupo compromete vítimas em mais de 50 países desde pelo menos 2004, abrangendo setores como governo, embaixadas, forças militares, educação, pesquisa e indústria farmacêutica. Suas operações envolvem campanhas de watering hole e spearphishing, com uso de ferramentas e malwares próprios, como o Uroburos. Ao todo, 68 técnicas do framework MITRE ATT&CK são documentadas em associação ao grupo.

Técnicas (MITRE ATT&CK) 68

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Preparação de recursos

Web Services Virtual Private Server Server Web Services Malware Malware Tool

Acesso inicial

Drive-by Compromise Spearphishing Link

Execução

PowerShell Windows Command Shell Visual Basic Python JavaScript Native API Malicious Link

Persistência

Registry Run Keys / Startup Folder Winlogon Helper DLL

Escalada de privilégio

Exploitation for Privilege Escalation Windows Management Instrumentation Event Subscription PowerShell Profile

Acesso a credenciais

Brute Force Windows Credential Manager

Descoberta

System Service Discovery Query Registry System Network Configuration Discovery Internet Connection Discovery Remote System Discovery System Network Connections Discovery Process Discovery Local Groups Domain Groups System Information Discovery File and Directory Discovery Local Account Domain Account Peripheral Device Discovery System Time Discovery Password Policy Discovery Security Software Discovery Group Policy Discovery

Movimento lateral

SMB/Windows Admin Shares Lateral Tool Transfer

Coleta

Data from Local System Data from Removable Media Databases Archive via Utility

Comando e controle

Web Protocols Mail Protocols Proxy Internal Proxy Web Service Bidirectional Communication Ingress Tool Transfer

Exfiltração

Exfiltration to Cloud Storage

defense-impairment

Modify Registry Code Signing Policy Modification Disable or Modify Tools

stealth

Indicator Removal from Tools Command Obfuscation Fileless Storage Match Legitimate Resource Name or Location Process Injection Dynamic-link Library Injection Local Accounts Create Process with Token Deobfuscate/Decode Files or Information File/Path Exclusions

Vulnerabilidades exploradas

Nenhuma CVE atribuída a este grupo nas fontes públicas (MITRE ATT&CK). Ausência de atribuição não significa ausência de atividade.

O grupo Turla usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →