La amenaza persistente avanzada de habla rusa implementa técnicas previamente vinculadas al grupo de APT Turla
Kaspersky ha publicado una nueva investigaciĂłn sobre el grupo de Amenazas Persistentes Avanzadas (APT) Tomiris, el cual se centra en la recopilaciĂłn de inteligencia en Asia Central. Este actor de habla rusa utiliza una amplia variedad de implantes de malware desarrollados a paso veloz y en todos los lenguajes de programaciĂłn imaginables, presumiblemente para obstruir la atribuciĂłn. Lo que llamĂł especialmente la atenciĂłn de los investigadores es que Tomiris despliega malware que anteriormente estaba vinculado a Turla, otro notorio grupo APT.
Kaspersky detallĂł pĂșblicamente a Tomiris por primera vez en septiembre de 2021, luego de la investigaciĂłn de un secuestro de un sistema de nombres de dominio (DNS) contra una instituciĂłn de gobierno de la Comunidad de Estados Independientes (CEI). En ese entonces, los investigadores habĂan notado similitudes no concluyentes con el incidente de SolarWinds. Continuaron rastreando a Tomiris como un actor de amenazas independiente en varias campañas de ataques nuevas entre 2021 y 2023, y la telemetrĂa de Kaspersky permitiĂł arrojar luz sobre el conjunto de herramientas del grupo y su posible conexiĂłn a Turla.
El actor de amenazas apunta a entidades gubernamentales y diplomĂĄticas en la CEI con el objetivo final de robar documentos internos. Las vĂctimas ocasionales descubiertas en otras regiones (como Oriente Medio o el Sudeste AsiĂĄtico) resultan ser representaciones extranjeras de paĂses de la CEI, lo que ilustra el enfoque limitado de Tomiris.
Tomiris persigue a sus vĂctimas utilizando una amplia variedad de vectores de ataque: correos electrĂłnicos de phishing dirigidos con adjuntos maliciosos (archivos protegidos con contraseña, documentos maliciosos, LNK armados), secuestro de DNS, explotaciĂłn de vulnerabilidades (especĂficamente ProxyLogon), descargas ocultas sospechosas y otros mĂ©todos “creativos”.
Lo que hace que las operaciones mĂĄs recientes de Tomiris sean especiales es que, con un nivel de confianza medio a alto, aprovecharon los malware KopiLuwak y TunnusSched que anteriormente estaban conectados a Turla. Sin embargo, a pesar de compartir este conjunto de herramientas, la Ășltima investigaciĂłn de Kaspersky explica que es muy probable que Turla y Tomiris sean actores separados que podrĂan estar intercambiando tĂ©cnicas.
Sin duda, Tomiris es de habla rusa, pero su orientaciĂłn y actividades estĂĄn significativamente en desacuerdo con lo que se ha observado sobre Turla. AdemĂĄs, el enfoque general de Tomiris hacia la intrusiĂłn y el interĂ©s limitado en el sigilo no coinciden con las tĂ©cnicas documentadas de Turla. Sin embargo, los investigadores de Kaspersky creen que compartir herramientas es una prueba potencial de cierta cooperaciĂłn entre Tomiris y Turla, cuyo alcance es difĂcil de evaluar. En cualquier caso, dependiendo de cuĂĄndo Tomiris comenzĂł a usar KopiLuwak, es posible que sea necesario reevaluar una serie de campañas y herramientas que se cree estĂĄn vinculadas a Turla.
“Nuestra investigaciĂłn muestra que el uso de KopiLuwak o TunnusSched ahora es insuficiente para vincular los ciberataques a Turla. Hasta donde sabemos, Tomiris aprovecha este conjunto de herramientas, que creemos firmemente es distinto a Turla, aunque es probable que ambos actores hayan cooperado en algĂșn momento. El observar las tĂĄcticas y las muestras de malware solo nos lleva hasta cierto punto, y a menudo nos sirve como recordatorio de que los actores de amenazas estĂĄn sujetos a restricciones organizativas y polĂticas. Esta investigaciĂłn ilustra los lĂmites de la atribuciĂłn tĂ©cnica, que solo podemos superar mediante el intercambio de inteligencia”, comenta Pierre Delcher, investigador senior de seguridad del Equipo de AnĂĄlisis e InvestigaciĂłn Global (GReAT) de Kaspersky.
Para evitar ser vĂctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
· Proporcione a su equipo SOC acceso a la inteligencia de amenazas (TI) mĂĄs reciente. Kaspersky Threat Intelligence Portal es un Ășnico punto de acceso para TI de la empresa, que proporciona informaciĂłn y datos sobre ataques cibernĂ©ticos recopilados por Kaspersky durante mĂĄs de 20 años.
· Mejore las habilidades de su equipo de seguridad cibernĂ©tica para abordar las Ășltimas amenazas dirigidas con la capacitaciĂłn en lĂnea de Kaspersky desarrollada por expertos de GReAT
· Para la detecciĂłn, investigaciĂłn y correcciĂłn oportuna de incidentes a nivel de endpoint, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.
· AdemĂĄs de adoptar la protecciĂłn esencial para endpoints, implemente una soluciĂłn de seguridad de nivel corporativo que detecte amenazas avanzadas en el nivel de la red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
· Dado que muchos ataques dirigidos comienzan con el phishing u otras tĂ©cnicas de ingenierĂa social, introduzca capacitaciĂłn sobre seguridad y enseñe habilidades prĂĄcticas a su equipo, por ejemplo, a travĂ©s de Kaspersky Automated Security Awareness Platform.
0 Comentarios