Detectadas similudes en la entrega y objetivos de dos APT de habla rusa

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Los analistas de Kaspersky Lab que monitorizan los grupos de Turla (también conocido como Snake o Uroburos), el actor de amenazas de habla rusa, han descubierto que la evolución más reciente de su malware KopiLuwak se entrega a las víctimas utilizando un código casi idéntico al utilizado hace apenas un mes por la operación Zebrocy, un subgrupo de Sofacy (también conocido como Fancy Bear y APT28), otro actor de amenazas de habla rusa de una cierta antigüedad.

Los analistas también encontraron una coincidencia en los objetivos de los dos actores de amenazas en puntos de Asia central y en entidades gubernamentales y militares sensibles.

Según explica el especialista en seguridad, KopiLuwak (el nombre se toma de un tipo poco frecuente de café) fue identificado por primera vez en noviembre de 2016 entregando documentos que contenían malware y macros habilitadas, y que descargan malware en Javascript muy ofuscado diseñado para el reconocimiento del sistema y la red. La evolución más reciente de kopiLuwak se observó a mediados de 2018, cuando los investigadores encontraron nuevos objetivos en Siria y Afganistán. En este caso, Turla utilizó un nuevo vector de entrega de phishing con archivos de acceso directo de Windows (.LNK). El estudio muestra que el archivo LNK contenía PowerShell para decodificar y descargar la carga dañina de KopiLuwak y este PowerShell era casi idéntico al utilizado en la actividad Zebrocy el mes anterior.

A ello se suma que los analistas también encontraron cierta coincidencia de objetivos entre los dos actores de amenazas, centrándose en objetivos políticos sensibles, incluidas entidades gubernamentales de investigación y seguridad, misiones diplomáticas y militares, principalmente en Asia central.

Por otro lado, otras herramientas maliciosas usadas por Turla, rastreadas durante 2018 por los analistas, incluyen los conocidos Carbon y Mosquito. Este último malware fue distribuido vía redes Wi-FI, aunque esta actividad “podría estar disminuyendo”. Sin embargo, encontraron una modificación adicional del potente y ya maduro esquema de ciberespionaje Carbon, que tradicionalmente se ha instalado de manera muy selectiva en víctimas de particular interés, y “esperan ver en 2019 más modificaciones de código y despliegue selectivo de este malware”, añaden.

Recomendaciones
Kaspersky Lab recomienda que, para reducir el riesgo de ser víctima de operaciones de ataques dirigidos, las organizaciones consideren las siguientes acciones:

- Utilizar una solución probada de seguridad para la empresa combinada con tecnologías anti-ataques dirigidos e inteligencia de amenazas.

- Dotar al personal de seguridad de acceso a la información de amenazas más reciente.

- Asegurarse de que los procesos de administración de parches estén bien establecidos y verificar todas las configuraciones del sistema, además de implementar las mejores prácticas.

- Si se detectan señales tempranas de un ataque dirigido, considerar servicios de protección administrados que permitan detectar, de manera proactiva, las amenazas avanzadas, reducir el tiempo de permanencia y organizar a tiempo la respuesta a incidentes.