El actor de APT Turla regresa con un nuevo arsenal de herramientas

Los investigadores de Kaspersky han descubierto que el actor de amenazas de habla rusa Turla ha renovado su conjunto de herramientas, envolviendo su malware JavaScript KopiLuwak con un nuevo dropper llamado Topinambour, creando dos versiones similares en otros idiomas y distribuyendo su malware a través de paquetes de instalación infectados con software que elude la censura en internet, entre otros. Los investigadores creen que estas medidas están diseñadas para minimizar la detección y precisión de las víctimas objetivo. Topinambour fue descubierto en una operación contra entidades gubernamentales a principios de 2019.

Turla es un destacado actor de amenazas interesado en el ciberespionaje contra objetivos relacionados con el gobierno y diplomáticos. Tiene una reputación de innovador por su malware KopiLuwak, que se detectó por primera vez a finales de 2016, y cuyas nuevas herramientas y técnicas introducidas por el actor de amenazas aumentan el sigilo y ayudan a minimizar la detección.

Topinambour es un nuevo archivo .NET que está utilizando Turla para distribuir KopiLuwak a través de paquetes de instalación infectados para programas de software legítimos, como VPN, para evitar la censura de Internet.

Los dos análogos de KopiLuwak: el troyano .NET RocketMan y el troyano PowerShell MiamiBeach, también están diseñados para el ciberespionaje. Los investigadores creen que estas versiones se implementan contra objetivos con un software de seguridad instalado que puede detectar KopiLuwak. Tras una instalación exitosa, las tres versiones pueden acceder a huellas digitales para saber qué tipo de equipo ha sido infectado, recopilar información sobre el sistema y los adaptadores de red, robar archivos, y descargar y ejecutar malware adicional. MiamiBeach también es capaz de tomar capturas de pantalla.

“En 2019, Turla emergió con un conjunto de herramientas renovado, que introdujo una serie de nuevas características posiblemente para minimizar la detección por parte de las soluciones de seguridad e investigadores. Esto incluye reducir la huella digital del malware y la creación de dos versiones diferentes pero similares del conocido malware KopiLuwak. El abuso de paquetes de instalación para el software VPN que puede eludir la censura en Internet sugiere que los atacantes han definido claramente los objetivos de ciberespionaje para estas herramientas. La continua evolución del arsenal de Turla es un buen recordatorio de la necesidad de inteligencia de amenazas y software de seguridad que pueda proteger contra las últimas herramientas y técnicas utilizadas por las APT. Por ejemplo, la protección de puntos finales y la comprobación de hashes de archivos después de descargar el software de instalación ayudaría a protegerse contra amenazas como Topinambour", explica Kurt Baumgartner, investigador principal de seguridad de Kaspersky.