Il gruppo di cybercriminali di lingua russa Turla ha introdotto delle novità nel suo arsenale di attacco: ha inserito KopiLuwak, il suo JavaScript per la diffusione di malware, all’interno di un nuovo dropper detto Topinambour, individuato nel corso di un’operazione contro alcuni enti governativi all’inizio del 2019. Il gruppo ha creato due versioni simili del malware in lingue diverse, e sta distribuendo il malware attraverso pacchetti di installazione infetti – alcuni legati a software per bypassare restrizioni nell’uso di Internet. Secondo i ricercatori di Kaspersky, queste misure sono state ideate per ridurre al minimo le possibilità di rilevamento e ottenere maggiore precisione nel colpire i target.
Turla è un autore di minacce informatiche di lingua russa e di alto profilo, con uno spiccato interesse per le azioni di cyberspionaggio rivolte contro obiettivi di tipo governativo o diplomatico. Viene considerato un gruppo cybercriminale particolarmente innovativo, noto soprattutto per il suo malware KopiLuwak, rilevato per la prima volta alla fine del 2016.
Topinambour (il nome deriva dall’ortaggio conosciuto anche come “carciofo di Gerusalemme”) è un nuovo file .NET che il gruppo Turla sta utilizzando per distribuire e rilasciare il suo JavaScript KopiLuwak sfruttando pacchetti di installazione infetti per programmi software legittimi, come ad esempio le VPN, utili per bypassare eventuali blocchi all’uso di Internet.
KopiLuwak è progettato appositamente per le azioni di cyberspionaggio e l’ultimo schema di infezione elaborato da Turla comprende anche tecniche specifiche per rendere ancora più difficile il rilevamento del malware. L’infrastruttura di comando e controllo, ad esempio, ha degli indirizzi che cercano di imitare gli IP delle reti private normalmente utilizzate nelle LAN. Il malware, inoltre, è quasi del tutto “fileless”: la fase finale dell’infezione – un trojan criptato per l’amministrazione da remoto – viene incorporato nel registro del computer in modo che il malware possa accedervi una volta pronto.
Anche le due versioni analoghe di KopiLuwak – il Trojan .NET RocketMan e il Trojan PowerShell MiamiBeach – sono progettate per azioni di cyberspionaggio. I ricercatori pensano che queste versioni vengano usate appositamente per la distribuzione contro obiettivi che utilizzano software di sicurezza per il rilevamento di KopiLuwak. Se l’installazione è andata a buon fine, tutte e tre le versioni (KopiLuwak, RocketMan e MiamiBeach) sono in grado di:
- Rilevare “l’impronta digitale” degli obiettivi, in modo da capire che tipo di computer è stato infettato.
- Raccogliere informazioni su adattatori di sistema e di rete.
- Rubare file.
- Scaricare ed eseguire malware aggiuntivi.
- MiamiBeach è anche in grado di fare degli screenshot.
“Nel 2019 Turla è tornato alla ribalta, con una serie di tool rinnovati e con l’introduzione di una serie di nuove funzionalità in grado di ridurre al minimo le capacità di rilevamento da parte dei ricercatori e di soluzioni di sicurezza. Tra queste, l’utilizzo di tecniche per ridurre il numero di tracce lasciate dal malware e la creazione di due versioni, diverse ma simili, del noto malware KopiLuwak. Lo sfruttamento di pacchetti di installazione di software VPN, che si usano per bypassare eventuali restrizioni all’uso di Internet, suggerisce come gli attaccanti abbiano chiaramente definito gli obiettivi delle attività di cyberspionaggio per questo tipo di strumenti. La continua evoluzione dell’arsenale di Turla ci ricorda come sia fondamentale essere costantemente informati sull’intelligence delle minacce e sugli ultimi software di sicurezza in grado di proteggere da strumenti e tecniche utilizzate di recente nelle campagne APT. La protezione degli Endpoint e il controllo degli hash dei file dopo il download di un software di installazione potrebbero rivelarsi utili nella difesa da minacce come Topinambour” – ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky.
Per ridurre le possibilità di diventare vittima di sofisticate operazioni di spionaggio informatico Kaspersky raccomanda di:
- Implementare programmi di formazione sulla sicurezza per i dipendenti, che possano aiutare a riconoscere e ad evitare applicazioni o file potenzialmente dannosi. I dipendenti, ad esempio, non dovrebbero mai scaricare e avviare applicazioni o programmi che provengono da fonti non attendibili o sconosciute.
- Per il rilevamento, le indagini e la tempestiva risoluzione di eventuali incidenti a livello degli Endpoint, adottare soluzioni EDR come Kaspersky Endpoint Detection and Response.
- Oltre a scegliere una protezione essenziale a livello degli Endpoint, è importante anche implementare una soluzione di sicurezza “corporate-grade” che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
- Mettere a disposizione del proprio team SOC le informazioni più recenti a livello di Threat Intelligence, in modo che la squadra sia sempre aggiornata sugli strumenti, le tecniche e le tattiche, nuove ed emergenti, utilizzate dai principali autori di cyberminacce.
Il report completo è già disponibile su Securelist.com.
