Trula, um sofisticado grupo de hackers também conhecido como Krypton, VenomousBear, Waterbug, Uroburos ou Snakegroup tem como alvo entidades governamentais, organizações militares, de energia e de pesquisa nuclear.
O grupo é conhecido por conduzir várias técnicas de spear-phishing e ataques watering hole para infectar vítimas específicas. O grupo sabe estar ativo desde pelo menos 2014.
Os pesquisadores de ameaças da Accenture identificaram o grupo típico que visa organizações governamentais europeias usando suas ferramentas personalizadas, embora com algumas atualizações.
Ataque do Grupo Trula
No ataque contra organizações governamentais europeias, Trula usou uma combinação de backdoors baseados em chamadas de procedimento remoto (RPC), como HyperStack, e trojans de administração remota (RATs), como Kazuar e Carbon.
Os backdoors RPC são desenvolvidos pela Trula com base no protocolo RPC confiável, ao utilizar esses backdoors eles podem realizar movimentos laterais e assumir o controle de outras máquinas na rede local sem depender do servidor C&C.
Os pesquisadores da Accenture Cyber Threat Intelligence identificaram que um dos backdoors RPC usava a funcionalidade HyperStack.
“O HyperStack usa pipes nomeados para executar chamadas de procedimento remoto (RPC) do controlador para o dispositivo que hospeda o cliente HyperStack. Para se mover lateralmente, o implante tenta se conectar ao compartilhamento IPC$ de outro dispositivo remoto, usando uma sessão nula ou credenciais padrão.”
Além disso, outra versão do HyperStack observada nesta campanha permite que os operadores Trula executem um comando por meio de um pipe nomeado do controlador sem implementar a atividade de enumeração IPC$.
Para comunicação C&C, assim como outros grupos de espionagem cibernética, Trula usa serviços da web legítimos. No caso da estrutura backdoor modular Carbon Pastebin usada para C&C.
Kazuar usa para se conectar à rede C2 alvo que reside fora da rede da vítima, a rede C2 provavelmente é um site legítimo comprometido.
No início de maio, o Turla Group atualizou o malware ComRAT para usar a interface da web do Gmail para comando e controle.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
