Ce billet de blog sur TURLA a été initialement publié sous la forme d’un rapport FLINT (Sekoia.io Flash Intelligence) envoyé à nos clients le 11 mai 2022.
Résumé
L’équipe de recherche et de détection de Sekoia.io a élargi la recherche sur les infrastructures de TURLA liées à la Russie à partir d’un article de blog du TAG de Google. Il expose une campagne de reconnaissance et d’espionnage de Turla à l’endroit du :
- Baltic Defence College,
- la Chambre économique autrichienne qui joue un rôle dans la prise de décision gouvernementale comme les sanctions économiques
- Et la plate-forme d’apprentissage en ligne de l’OTAN JDAL (Joint Advanced Distributed Learning).
Analyse
Le 3 mai 2022, le groupe d’analyse des menaces (TAG) de Google a publié un rapport « Mise à jour sur la cyberactivité en Europe de l’Est« . Celle-ci expose les campagnes en cours ciblant l’Europe de l’Est de divers APT :
- APT28 lié à la Russie, TURLA, Callisto,
- Ghostwriter lié à la Biélorussie et Curious Gorge, un groupe TAG attribué à la Force de soutien stratégique de l’Armée populaire de libération de Chine (qui est la force de guerre spatiale, cybernétique et électronique et la 5e branche de l’armée chinoise).
Les chercheurs de Sekoia.io ont élargi leurs investigations concernant TURLA aux domaines publiés dans le rapport de TAG :
- wkoinfo.webredirect[.]org
- jadlactnato.webredirect[.]org
TURLA (alias Uroburos, Snake, Venomous Bear) est un groupe historique de cyberespionnage russophone largement soupçonné d’être exploité par le Service fédéral de sécurité de la Fédération de Russie (FSB). Le groupe est principalement connu pour cibler les ministères des Affaires étrangères et les organisations de la Défense.
Actif depuis au moins 1996, ce jeu d’intrusion est soupçonné d’avoir pénétré de nombreux réseaux sensibles américains lors d’une campagne baptisée « Moonlight Maze » de 1996 à 1999. En 2008, Turla est soupçonné d’avoir utilisé un ver USB baptisé « Agent.BTZ » pour pirater les réseaux les plus sensibles du département américain de la Défense.
Les deux domaines résolvent l’IP 79.110.52[.]218 qui ne permet pas plus d’investigation. Mais le premier domaine a exposé 45.153.241[.]162 qui peut être lié via les services Shodan à un nouveau domaine baltdefcol.webredirect[.]org typosquatting www.baltdefcol.org, le site Web du Baltic Defence College.
Dans chaque répertoire découvert, nous avons trouvé le même document Word « War Bulletin April 27, 19:00 CET» qui semblait légitime mais contenait l’inclusion d’un fichier PNG externe baptisé logo.png qui n’était pas accessible pendant l’enquête.
Figure 1. Liste des répertoires sur le serveur de Turla affichant un document.
Le Baltic Defence College (BALTDEFCOL) est un centre de recherche stratégique créé par l’Estonie, la Lettonie et la Lituanie en 1999. Il propose une formation militaire et des conférences aux officiers de haut rang des États fondateurs ainsi qu’à des alliés comme l’OTAN, l’UE et d’autres pays européens. dont l’Ukraine. Le BALTDEFCOL a publié des études sur l’invasion russe de l’Ukraine et a tweeté à propos d’une délégation de l’US Air Force War College accueillie lors de leur voyage d’étude européen le 17 mars. Plus tard, le 19 avril, les chefs de la défense d’Estonie et de Lettonie, le lieutenant-général Herem et le lieutenant-général Kalniņš ont visité le Baltic Defence College. Ils ont tous deux fourni un aperçu des concepts de défense nationale, soulignant les priorités lors de la préparation des forces armées à faire face à toute menace pour la souveraineté nationale. Ces visites, et le rôle stratégique que BALTDEFCOL peut avoir dans la stratégie militaire balte contre la Russie, pourraient être des raisons pour lesquelles Turla cible cette institution à des fins d’espionnage.
Nous nous sommes également concentrés sur wkoinfo.webredirect[.]org qui typosquatte wko.at, le site officiel de la Chambre économique fédérale autrichienne (Wirtschaftskammer Österreich, WKO). La malveillants répertoires de domaines et sous-domaines23.03.2022 : Neue USA Exportkontrollen und Sanktionen : Fokus Russland – Was müssen österreichische Unternehmen jetzt beachten ? – WKO.à”.
La Chambre économique fédérale autrichienne a une fonction élargie par rapport à d’autres chambres économiques dans différents pays qui ont un objectif de consultation. Selon la loi, les gouvernements autrichiens doivent consulter les Chambres sur les projets législatifs et les réglementations importantes, y compris les sanctions économiques. Cette implication dans les procédures décisionnelles et administratives peut être à l’origine des opérations d’espionnage russes à travers la campagne de phishing de Turla, notamment dans un pays européen réputé être un pont diplomatique entre la partie occidentale et la partie russe. En effet, si Vienne soutient officiellement Kiev, l’Autriche veut garder son État neutre, a voté le rejet des sanctions contre le pétrole et le gaz russes, et n’a pas envoyé d’armes à l’Ukraine. Ainsi, tout changement dans la position autrichienne pourrait avoir un impact important effet sur l’unité occidentale face à l’invasion russe de l’Ukraine, motivant une surveillance étroite de Moscou.
Enfin, nous avons noté que jadlactnato.webredirect[.]org est un typosquattage de NATO Joint Advanced Distributed Learning, une plateforme d’apprentissage en ligne hébergée sur https://jadl.act.nato[.]int qui a été créée rechercher et dispenser une formation et une formation aux militaires de l’OTAN et aux responsables gouvernementaux ou de l’OTAN.
Analyse technique des documents
Ces documents demandent le fichier PNG grâce à une inclusion de fichier distant définie dans le fichier/word/_rels/document.rels.xml. Il est assez intéressant que la demande au fichier soit effectuée via le protocole HTTP et non une inclusion SMB. Par conséquent, cette campagne n’utilise aucun code malveillant, mais a été utilisée uniquement à des fins de reconnaissance.
Grâce à la requête HTTP faite par le document à son propre serveur contrôlé, l’attaquant peut obtenir la version et le type d’application Word utilisée par la victime. Ce qui peut être une information intéressante pour envoyer un exploit sur mesure pour la version spécifique de Microsoft Word.
De plus, l’attaquant peut saisir l’adresse IP de la victime qui peut également être un sélecteur intéressant pour surveiller les communications de la victime via les capacités SIGINT de TURLA.
IOCs et détails techniques
Règles Yara
rule apt_TURLA_ExternalPNGDocument_strings {
meta:
id = "51413d41-d0f4-4e1a-9f12-322921e48977"
version = "1.0"
intrusion_set = "TURLA"
description = "Detects external logo embedded in DOCX documents"
source = "SEKOIA"
creation_date = "2022-05-05"
modification_date = "2022-05-05"
classification = "TLP:GREEN"
strings:
$s1 = "/relationships/image"
$s2 = /[0-9]{3,10}\/logo\.png/
$s3 = "TargetMode=\"External\"/><"
condition:
$s1 in (filesize-400..filesize) and
$s2 in (filesize-400..filesize) and
$s3 in (filesize-400..filesize)
}
Infrastructure
45.153.241[.]162 79.110.52[.]218 149.154.157[.]11 baltdefcol.webredirect[.]org wkoinfo.webredirect[.]org jadlactnato.webredirect[.]org
Hachage de documents
f6e755e2af0231a614975d64ea3c8116 f223e046dd4e3f98bfeb1263a78ff080
TTPs (ATT&CK)
Lien de spearphishing (T1598.003)
Recueillir les informations réseau des victimes Adresses IP (T1590.005)
Recueillir les informations sur l’hôte du logiciel (T1592.002)
Lire aussi :