El grupo Turla renueva su arsenal

Turla es un grupo APT de alto nivel de habla rusa con interés en el ciberespionaje a objetivos relacionados con el gobierno y la diplomacia. Conocido por su carácter innovador y por su malware KopiLuwak, identificado por primera vez a finales de 2016. En 2019, los investigadores de Kaspersky han descubierto nuevas herramientas y técnicas más sigilosas introducidas por el actor de amenazas que ayudan a minimizar su detección.

Topinambour es un nuevo archivo. NET, utilizado por Turla, para distribuir y liberar su JavaScript KopiLuwak a través de paquetes de instalación infectados para programas de software legítimos como clientes VPNs para eludir la censura de Internet.

KopiLuwak está diseñado para el ciberespionaje y el último proceso de infección de Turla incluye técnicas que ayudan a evitar su detección. Por ejemplo, la infraestructura de comando y control tiene IPs que parecen imitar direcciones LAN ordinarias. Además, el malware es fileless (sin archivos) -en la etapa final de la infección, un troyano cifrado para la administración remota se incrustado en el registro del ordenador para que el malware pueda acceder cuando esté listo.

Los dos análogos de KopiLuwak: el troyano. NET RocketMan y el troyano PowerShell MiamiBeach también han sido diseñados para el ciberespionaje. Los investigadores creen que estas versiones se despliegan contra objetivos que hayan instalado un software de seguridad capaz de detectar KopiLuwak. Si la instalación se realiza correctamente, las tres versiones pueden:

• Validar el sistema infectado (para entender qué tipo de equipo ha sido infectado y si es relevante)
• Recopilar información sobre el sistema y sus adaptadores de red
• Robar archivos
• Descargar y ejecutar malware adicional
• MiamiBeach también puede tomar capturas de pantalla

"En 2019, Turla resurgió con un conjunto de herramientas renovado, introduciendo una serie de nuevas capacidades que posiblemente minimicen la detección por parte de los investigadores y las soluciones de seguridad. Esto incluye la reducción de la huella digital del malware y la creación de dos versiones diferentes pero similares del conocido malware de KopiLuwak. El abuso de los paquetes de instalación para software VPN que pueden eludir la censura en Internet sugiere que los atacantes han definido claramente los objetivos de ciberespionaje para estas herramientas. La continua evolución del arsenal de Turla nos recuerda la necesidad de un software de seguridad e inteligencia de amenazas que pueda proteger contra las últimas herramientas y técnicas utilizadas por las APTs. Por ejemplo, la protección de endpoints y la comprobación de los archivos después de descargar el software de instalación ayudaría a proteger contra amenazas como Topinambour", señala Kurt Baumgartner, investigador principal de seguridad de Kaspersky.

Para reducir el riesgo de ser víctima de sofisticadas operaciones de ciberespionaje, Kaspersky recomienda tomar las siguientes medidas:

• Implementar un programa de formación Security Awareness para el personal para explicarles cómo reconocer y evitar aplicaciones o archivos potencialmente maliciosos. Por ejemplo, los empleados no deben descargar y ejecutar ninguna aplicación o programa de fuentes desconocidas o no fiables.
• Para la detección a nivel endpoints, la investigación y resolución oportuna de incidentes, implementar soluciones EDR tales como Kaspersky Endpoint Detection and Response
• Además de adoptar la protección esencial de los endpoints, implementar una solución de seguridad corporativa que detecte de forma temprana amenazas avanzadas a nivel de red, como la plataforma Kaspersky Anti Targeted AttackPlatform
• Proporcionar a su equipo SOC acceso a la última Inteligencia sobre Amenazas para mantenerse al día con las herramientas, técnicas y tácticas nuevas y emergentes utilizadas por los actores de amenazas.