Kaspersky scopre Topinambur, il dropper che il gruppo Turla utilizza per diffondere malware, anche nei software anti-censura di Internet  

Pubblicato da in data 14 Luglio 2019

Kaspersky scopre Topinambur, il dropper che il gruppo Turla utilizza per diffondere malware, anche nei software anti-censura di Internet

Pubblicato il: 15/07/2019 17:05

Milano, 15 luglio 2019 I ricercatori di Kaspersky hanno scoperto che il gruppo di cybercriminali di lingua russa Turla ha rinnovato il set dei suoi strumenti: inserendo il suo famoso JavaScript per la diffusione di malware, KopiLuwak, all’interno di un nuovo dropper, detto Topinambour, creando due versioni simili, in lingue diverse, e distribuendo il malware attraverso pacchetti di installazione infetti, alcuni dei quali legati a software per bypassare eventuali restrizioni nell’uso di Internet. I ricercatori ritengono che queste misure siano state ideate per ridurre al minimo le possibilità di rilevamento e per una maggiore precisione nel colpire le vittime a target. Topinambour è stato individuato nel corso di un’operazione contro alcuni enti governativi all’inizio del 2019.

Turla è un autore di minacce informatiche di lingua russa e di alto profilo, con uno spiccato interesse per le azioni di cyberspionaggio rivolte contro obiettivi di tipo governativo o diplomatico. Viene considerato un gruppo cybercriminale particolarmente innovativo, noto soprattutto per il suo malware KopiLuwak, rilevato per la prima volta alla fine del 2016. Nel 2019 i ricercatori di Kaspersky hanno scoperto l’introduzione, da parte del gruppo, di nuovi strumenti e tecniche che aumentano le capacità di occultamento e aiutano a ridurre al minimo le possibilità di rilevazione.

Topinambour (il nome deriva dall’ortaggio conosciuto anche come “carciofo di Gerusalemme”) è un nuovo file .NET che il gruppo Turla sta utilizzando per distribuire e rilasciare il suo JavaScript KopiLuwak sfruttando pacchetti di installazione infetti per programmi software legittimi, come ad esempio le VPN, utili per bypassare eventuali blocchi all’uso di Internet.

KopiLuwak è progettato appositamente per le azioni di cyberspionaggio e l’ultimo schema di infezione elaborato da Turla comprende anche tecniche specifiche per rendere ancora più difficile il rilevamento del malware. L’infrastruttura di comando e controllo, ad esempio, ha degli indirizzi che cercano di imitare gli IP delle reti private normalmente utilizzate nelle LAN. Il malware, inoltre, è quasi del tutto “fileless”: la fase finale dell’infezione – un trojan criptato per l’amministrazione da remoto – viene incorporato nel registro del computer in modo che il malware possa accedervi una volta pronto.

Anche le due versioni analoghe di KopiLuwak – il Trojan .NET RocketMan e il Trojan PowerShell MiamiBeach – sono progettate per azioni di cyberspionaggio. I ricercatori pensano che queste versioni vengano usate appositamente per la distribuzione contro obiettivi che utilizzano software di sicurezza per il rilevamento di KopiLuwak. Se l’installazione è andata a buon fine, tutte e tre le versioni (KopiLuwak, RocketMan e MiamiBeach) sono in grado di:

· Rilevare “l’impronta digitale” degli obiettivi, in modo da capire che tipo di computer è stato infettato.

· Raccogliere informazioni su adattatori di sistema e di rete.

· Rubare file.

· Scaricare ed eseguire malware aggiuntivi.

· MiamiBeach è anche in grado di fare degli screenshot.

“Nel 2019 Turla è tornato alla ribalta, con una serie di tool rinnovati e con l’introduzione di una serie di nuove funzionalità in grado di ridurre al minimo le capacità di rilevamento da parte dei ricercatori e di soluzioni di sicurezza. Tra queste, l’utilizzo di tecniche per ridurre il numero di tracce lasciate dal malware e la creazione di due versioni, diverse ma simili, del noto malware KopiLuwak. Lo sfruttamento di pacchetti di installazione di software VPN, che si usano per bypassare eventuali restrizioni all’uso di Internet, suggerisce come gli attaccanti abbiano chiaramente definito gli obiettivi delle attività di cyberspionaggio per questo tipo di strumenti. La continua evoluzione dell’arsenale di Turla ci ricorda come sia fondamentale essere costantemente informati sull’intelligence delle minacce e sugli ultimi software di sicurezza in grado di proteggere da strumenti e tecniche utilizzate di recente nelle campagne APT. La protezione degli Endpoint e il controllo degli hash dei file dopo il download di un software di installazione potrebbero rivelarsi utili nella difesa da minacce come Topinambour” – ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky.

Per ridurre le possibilità di diventare vittima di sofisticate operazioni di spionaggio informatico Kaspersky raccomanda di:

· Implementare programmi di formazione sulla sicurezzaper i dipendenti, che possano aiutare a riconoscere e ad evitare applicazioni o file potenzialmente dannosi. I dipendenti, ad esempio, non dovrebbero mai scaricare e avviare applicazioni o programmi che provengono da fonti non attendibili o sconosciute.

· Per il rilevamento, le indagini e la tempestiva risoluzione di eventuali incidenti a livello degli Endpoint, adottare soluzioni EDR come Kaspersky Endpoint Detection and Response.

· Oltre a scegliere una protezione essenziale a livello degli Endpoint, è importante anche implementare una soluzione di sicurezza “corporate-grade” che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.

· Mettere a disposizione del proprio team SOC le informazioni più recenti a livello di Threat Intelligence, in modo che la squadra sia sempre aggiornata sugli strumenti, le tecniche e le tattiche, nuove ed emergenti, utilizzate dai principali autori di cyberminacce.

Il report completo è già disponibile su Securelist.com.

Informazioni su Kaspersky

Kaspersky è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni:www.kaspersky.com/it

Seguici su:

https://twitter.com/KasperskyLabIT

Traccia corrente

Titolo

Artista

Background