Investigadores de Kaspersky Lab que vigilan a varios clusters del agente de amenazas de habla rusa Turla (también conocido como Snake o Uroburos) han descubierto que la evolución más reciente de su malware KopiLuwak se distribuye a las víctimas usando un código casi idéntico al utilizado un mes antes por la operación Zebrocy, un subconjunto de Sofacy (también conocido como Fancy Bear y APT28), otro antiguo agente de amenaza de habla rusa. Los investigadores también encontraron una superposición de objetivos entre los dos agentes de la amenaza, centrada en zonas geopolíticas de Asia central y en entidades gubernamentales y militares sensibles.
Los resultados se incluyen en un reporte de la evolución y actividad más reciente de cuatro grupos activos atribuidos al agente de amenazas Turla, publicada hoy por el Equipo Global de Investigación y Análisis de Kaspersky Lab.
KopiLuwak (nombre que se deriva de un tipo raro de café), se descubrió en noviembre de 2016, al entregar documentos que contenían código malicioso y con macros habilitados que arrojaban un nuevo malware JavaScript fuertemente ofuscado y diseñado para el reconocimiento de sistemas y redes. La evolución más reciente de KopiLuwak se observó a mediados de 2018, cuando los investigadores notaron nuevos objetivos en Siria y Afganistán. Turla utilizó un nuevo vector de entrega de spear-phishing con archivos de acceso directo de Windows (.LNK). El análisis mostró que el archivo LNK contenía PowerShell para decodificar y soltar la carga útil de KopiLuwak. Esta PowerShell era casi idéntica a la utilizada en la actividad de Zebrocy un mes antes.
Los investigadores también encontraron cierta superposición de objetivos entre los dos agentes de amenaza, centrada en objetivos políticos delicados, que incluyen entidades gubernamentales de investigación y seguridad, misiones diplomáticas y asuntos militares, principalmente en Asia central.
Otros clústeres de malware de Turla seguidos por los investigadores durante 2018 incluyen los conocidos Carbon y Mosquito.
En su informe, los investigadores aportan más evidencia para respaldar la hipótesis de que las redes de Wi-Fi fueron abusadas por Turla para entregar el malware Mosquito a las víctimas, una práctica que puede estar disminuyendo. También encontraron modificaciones adicionales en Carbon, el ya maduro y poderoso marco de ciberespionaje, que tradicionalmente se ha instalado de manera selectiva en víctimas de particular interés, y esperan ver modificaciones adicionales del código y despliegue selectivo de este malware en 2019.
Los objetivos 2018 para los clústeres de malware Turla incluyen Oriente Medio y el norte de África, así como partes de Europa occidental y oriental, Asia central y meridional y América.
«Turla es uno de los agentes de amenazas conocidos más antiguos, perdurables y capaces, conocido por cambiar constantemente la piel y probar nuevas innovaciones y enfoques. Nuestra investigación sobre los principales clústeres de malware durante 2018 muestra que continúa creciendo y experimentando. Sin embargo, vale la pena señalar que mientras que otros agentes de amenazas de habla rusa como CozyDuke (APT29) y Sofacy atacaban organizaciones de Occidente, como el presunto hackeo al Comité Nacional Demócrata en 2016, Turla estaba desplegando silenciosamente sus operaciones hacia el Oriente, donde su actividad y, más recientemente, incluso sus técnicas de entrega, comenzaron a traslaparse con el subconjunto Zebrocy de Sofacy. Nuestra investigación sugiere que el desarrollo e implementación del código de Turla es continuo, y las organizaciones que creen que podrían ser un objetivo deberían prepararse para esto», dijo Kurt Baumgartner, investigador de seguridad principal del equipo GReAT de Kaspersky Lab.
Kaspersky Lab recomienda que, para reducir el riesgo de ser víctima de operaciones avanzadas de ataques dirigidos, las organizaciones deben considerar las siguientes acciones:
- Usar una solución de seguridad de grado corporativo probada en combinación con tecnologías de ataque contra objetivos e inteligencia contra amenazas, como la solución Kaspersky Threat Management and Defense. Estos son capaces de localizar y detectar ataques dirigidos avanzados mediante el análisis de anomalías de red, y otorgar a los equipos de ciberseguridad visibilidad total sobre la red y la automatización de la respuesta.
- Proporcionar al personal de seguridad acceso a los datos de inteligencia más recientes sobre amenazas, que los armarán con herramientas útiles para la investigación y prevención de ataques dirigidos, como los indicadores de peligro (IOC, por sus siglas en inglés), YARA y los informes de amenazas avanzados personalizados.
- Asegúrese de que los procesos de administración de parches de grado empresarial estén bien establecidos y vuelva a comprobar todas las configuraciones del sistema e implemente las mejores prácticas.
- Si detecta indicadores tempranos de un ataque dirigido, considere los servicios de protección administrada que le permitirán detectar de manera proactiva las amenazas avanzadas, reducir el tiempo de permanencia y organizar la respuesta oportuna a los incidentes.
Para obtener más información sobre la actividad 2018 Turla, Por favor visite nuestro blog: Securelist.
Los informes privados sobre la actividad más reciente de los diversos clusters de Turla están disponibles para los clientes de Kaspersky Intelligence Reporting. Contacto: [email protected]