martes, 14 de abril de 2020

El grupo Turla renueva su arsenal


Los investigadores de Kaspersky han descubierto que el actor de amenazas de habla rusa Turla ha renovado su conjunto de herramientas: su famoso malware JavaScript KopiLuwak incluye un nuevo dropper llamado Topinambour, creando dos versiones similares en otros idiomas, y distribuyendo el malware a través de paquetes de instalación infectados de software para evitar la censura en Internet, entre otros.  Topinambour fue descubierto en una operación contra entidades gubernamentales a principios de 2019.

Turla es un grupo APT de alto nivel de habla rusa con interés en el ciberespionaje a objetivos relacionados con el gobierno y la diplomacia. Conocido por su carácter innovador y por su malware KopiLuwak, identificado por primera vez a finales de 2016. En 2019, los investigadores de Kaspersky han descubierto nuevas herramientas y técnicas más sigilosas introducidas por el actor de amenazas que ayudan a minimizar su detección.
Topinambour es un nuevo archivo.NET, utilizado por Turla, para distribuir y liberar su JavaScript KopiLuwak a través de paquetes de instalación infectados para programas de software legítimos como clientes VPNs para eludir la censura de Internet.
KopiLuwak está diseñado para el ciberespionaje y el último proceso de infección de Turla incluye técnicas que ayudan a evitar su detección.  Por ejemplo, la infraestructura de comando y control tiene IPs que parecen imitar direcciones LAN ordinarias. Además, el malware es fileless (sin archivos) -en la etapa final de la infección, un troyano cifrado para la administración remota se incrustado en el registro del ordenador para que el malware pueda acceder cuando esté listo.
Los dos análogos de KopiLuwak: el troyano .NET RocketMan y el troyano PowerShell MiamiBeach también han sido diseñados para el ciberespionaje.  Los investigadores creen que estas versiones se despliegan contra objetivos que hayan instalado un software de seguridad capaz de detectar KopiLuwak. Si la instalación se realiza correctamente, las tres versiones pueden:
  • Validar el sistema infectado (para entender qué tipo de equipo ha sido infectado y si es relevante)
  • Recopilar información sobre el sistema y sus adaptadores de red
  • Robar archivos
  • Descargar y ejecutar malware adicional
  • MiamiBeach también puede tomar capturas de pantalla
«En 2019, Turla resurgió con un conjunto de herramientas renovado, introduciendo una serie de nuevas capacidades que posiblemente minimicen la detección por parte de los investigadores y las soluciones de seguridad. Esto incluye la reducción de la huella digital del malware y la creación de dos versiones diferentes pero similares del conocido malware de KopiLuwak. El abuso de los paquetes de instalación para software VPN que pueden eludir la censura en Internet sugiere que los atacantes han definido claramente los objetivos de ciberespionaje para estas herramientas. La continua evolución del arsenal de Turla nos recueda la necesidad de un software de seguridad e inteligencia de amenazas que pueda proteger contra las últimas herramientas y técnicas utilizadas por las APTs.  Por ejemplo, la protección de endpoints y la comprobación de los archivos después de descargar el software de instalación ayudaría a proteger contra amenazas como Topinambour», señala Kurt Baumgartner, investigador principal de seguridad de Kaspersky.


No olvides Compartir... 

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes