g0010-turla - RunkIntel

# Turla ## Visão Geral Turla (também rastreado como Secret Blizzard e Venomous Bear) e um grupo de espionagem cibernética atribuido ao **Servico Federal de Segurança da Russia (FSB - Centro 16)**. Com quase tres decadas de operações ininterruptas, o Turla e considerado um dos atores de ameaça mais sofisticados e persistentes do cenário global. O grupo compromete vitimas em mais de 50 paises, concentrando suas operações em governos, embaixadas, organismos militares e empresas de defesa. Uma caracteristica distintiva do Turla - raramente observada em outros APTs - e a **prática de comprometer infraestrutura de outros grupos de ameaça** para conduzir suas proprias operações, dificultando a atribuicao e ampliando o alcance sem expor sua propria infraestrutura. Casos documentados incluem o hijack da infraestrutura do grupo iraniano [[g0049-oilrig|APT34]] (2017-2019), do grupo paquistanes [[storm-0156|Storm-0156]] (2022-2024), e o uso do botnet Amadey e backdoor Cookbox do grupo [[storm-1837|Storm-1837]] para comprometer dispositivos militares ucranianos (2024). Em agosto de 2025, a Microsoft documentou uma nova campanha do Secret Blizzard explorando embaixadas em Moscou via técnica **Adversary-in-the-Middle (AiTM)**, provavelmente habilitada por sistemas legais de interceptação russos (SORM), implantando o malware customizado [[apolloshadow|ApolloShadow]]. **Também conhecido como:** Turla, Secret Blizzard, IRON HUNTER, Group 88, Waterbug, WhiteBear, Snake, Krypton, Venomous Bear, BELUGASTURGEON, Blue Python, Pensive Ursa, SUMMIT, Uroburos ## Campanhas Recentes (2022-2025) > [!danger] Campanha Ativa - Snowblind / Hijack Storm-0156 > Entre dezembro de 2022 e novembro de 2024, o Turla infiltrou 33 servidores C2 do grupo paquistanes Storm-0156 (SideCopy/Transparent Tribe), implantando backdoors [[twodash|TwoDash]] e [[statuezy|Statuezy]] em redes governamentais afegaes e indias. O acesso aos C2 permitiu que o Turla coletasse dados exfiltrados por outra APT sem atacar as organizacoes-alvo diretamente. > [!warning] Campanha Ativa - Ucrania Militares 2024 > Entre marco e abril de 2024, o Secret Blizzard usou bots do Amadey (Storm-1919) para implantar [[tavdig|Tavdig]] e [[kazuarv2|KazuarV2]] em dispositivos militares ucranianos conectados via Starlink - tipicamente dispositivos de linha de frente. Em janeiro de 2024, o backdoor Cookbox do Storm-1837 foi explorado para o mesmo fim. ### Timeline ```mermaid timeline title Turla - Linha do Tempo de Operacoes 1996 : Primeiras atividades documentadas (Snake malware) 2017 : Hijack infraestrutura APT34 Iran 2022 : Comprometimento de C2s do Storm-0156 2023 : Uso de Andromeda USB para implantar backdoors na Ucrania 2024-01 : Uso do backdoor Cookbox/Storm-1837 contra drones ucranianos 2024-03 : Amadey bots usados contra militares ucranianos com Tavdig e KazuarV2 2024-08 : TwoDash implantado via acesso Storm-0156 em redes afegaes 2025-08 : ApolloShadow contra embaixadas em Moscou via AiTM/SORM ``` ## Arsenal de Malware | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s0126-comrat\|ComRAT]] | Backdoor avancado | Espionagem de longo prazo, C2 via email | | [[kazuarv2\|KazuarV2]] | Backdoor furtivo | Coleta de inteligência, exfiltração furtiva | | [[tavdig\|Tavdig]] | Backdoor modular | Estabelecimento de foothold inicial | | [[twodash\|TwoDash]] | Downloader | Implante customizado - campanha Afeganistao | | [[statuezy\|Statuezy]] | Trojan de clipboard | Monitoramento de dados copiados | | [[minipocket\|MiniPocket]] | Downloader | Segundo estagio - comunicação TCP hardcoded | | [[s1075-kopiluwak\|KOPILUWAK]] | Ferramenta de reconhecimento | Coleta de informações do ambiente | | [[apolloshadow\|ApolloShadow]] | Malware AiTM | Interceptação de trafego criptografado | | [[s1141-lunarweb\|LunarWeb]] | Backdoor | Acesso remoto via web | | [[s0256-mosquito\|Mosquito]] | Backdoor | Espionagem de diplomatas e governo | ## Attack Flow Operacional ```mermaid graph TB A["Comprometimento de APT Hijack C2 de outro grupo T1588.002 - Tool"] --> B["Acesso Inicial Watering hole / Spear-phishing T1189 + T1566"] B --> C["Execução PowerShell + DLL Injection T1546.013 + T1055.001"] C --> D["Persistência Registry Mod + PowerShell Profile T1112 + T1546.013"] D --> E["Escalacao Token Manipulation T1068 + T1134.002"] E --> F["Reconhecimento KOPILUWAK - coleta de info T1049 + T1615"] F --> G["Exfiltração Furtiva Mail Protocols + Proxy T1071.003 + T1090"] G --> H["Persistência de Longo Prazo KazuarV2 + ComRAT C2 Meses a anos sem detecção"] style A fill:#8e44ad,color:#fff style B fill:#e74c3c,color:#fff style C fill:#e67e22,color:#fff style D fill:#f39c12,color:#fff style E fill:#27ae60,color:#fff style F fill:#2980b9,color:#fff style G fill:#16a085,color:#fff style H fill:#c0392b,color:#fff ``` ## Técnicas Utilizadas - [[t1584-006-web-services|T1584.006 - Web Services]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1069-001-local-groups|T1069.001 - Local Groups]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1134-002-create-process-with-token|T1134.002 - Creaté Process with Token]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1546-013-powershell-profile|T1546.013 - PowerShell Profile]] - [[t1583-006-web-services|T1583.006 - Web Services]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]] - [[t1090-proxy|T1090 - Proxy]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1615-group-policy-discovery|T1615 - Group Policy Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] ## Software Utilizado - [[s0126-comrat|ComRAT]] - [[kazuarv2|KazuarV2]] - [[tavdig|Tavdig]] - [[twodash|TwoDash]] - [[statuezy|Statuezy]] - [[minipocket|MiniPocket]] - [[s1075-kopiluwak|KOPILUWAK]] - [[apolloshadow|ApolloShadow]] - [[s1141-lunarweb|LunarWeb]] - [[s0256-mosquito|Mosquito]] - [[s0581-ironnetinjector|IronNetInjector]] - [[s0363-empire|Empire]] - [[psexec|PsExec]] ## Relevância para o Brasil e LATAM > [!warning] Ameaça Indireta de Alta Sofisticacao > O Turla representa uma ameaça de espionagem estatal de altissima sofisticacao com foco primario em alvos diplomaticos, governamentais e de defesa na Europa, Oriente Medio e Eurasia. Embaixadas brasileiras no exterior - especialmente em paises da Europa Oriental e Oriente Medio - estao dentro do perfil historico de vitimas. A tática de **hijack de infraestrutura de outros APTs** torna a detecção e atribuicao excepcionalmente dificeis: organizacoes brasileiras podem ser comprometidas por Turla sem perceber que o atacante real nao e o grupo que aparenta ser. Orgaos do Itamaraty, ministerios e empresas de defesa e energia devem implementar monitoramento de anomalias de trafego de rede e estar cientes de que indicadores de comprometimento convencionais podem ser deliberadamente enganosos. ## Detecção > [!tip] Sinalizadores de Detecção > - Trafego de C2 via protocolos de email (SMTP/IMAP) para servidores externos incomuns > - Modificacoes de registro associadas ao PowerShell Profile (T1546.013) > - Atividade de DLL Sideloading em processos legitimos do sistema > - Comúnicacoes de saida via Proxy encadeado ou TOR > - Certificados raiz confiantes instalados de forma incomum (campanha ApolloShadow) > - Binarios legitimos assinados carregando DLLs maliciosas de diretorios temp ## Referências [1](https://thehackernews.com/2024/12/russia-linked-turla-exploits-pakistani.html) The Hacker News - Turla Exploits Pakistani Hackers' C2 Servers (Dez 2024) [2](https://www.microsoft.com/en-us/security/blog/2024/12/11/frequent-freeloader-part-ii-russian-actor-secret-blizzard-using-tools-of-other-groups-to-attack-ukraine/) Microsoft - Secret Blizzard Using Tools of Other Groups to Attack Ukraine (Dez 2024) [3](https://socprime.com/blog/secret-blizzard-attack-detection/) SOC Prime - Secret Blizzard KazuarV2 Analysis (Dez 2024) [4](https://www.cybersecurity-help.cz/blog/4896.html) CyberSecurity Help - ApolloShadow Campaign Moscow Embassies (Ago 2025) [5](https://attack.mitre.org/groups/G0010/) MITRE ATT&CK - G0010 Turla