Una recente indagine Kaspersky si è focalizzata sul gruppo di lingua russa APT Tomiris, che raccoglie informazioni in Asia centrale e utilizza diverse installazioni malware. L’ampia varietà di installazioni malware viene sviluppata a un ritmo sostenuto e in tutti i linguaggi di programmazione possibili, presumibilmente per ostacolarne l’attribuzione. Ciò che ha attirato l’attenzione dei ricercatori è che Tomiris utilizza un malware precedentemente collegato a Turla, un altro noto gruppo APT.
Diverse campagne di attacco
Kaspersky ha descritto Tomiris per la prima volta a settembre 2021, a seguito dell’indagine su un hijack DNS ai danni di una pubblica amministrazione della Comunità degli Stati Indipendenti (CSI). I ricercatori avevano notato somiglianze poco convincenti con l’incidente di Solar Winds. Hanno continuato a seguire Tomiris come attore di minacce separato in diverse nuove campagne di attacco tra il 2021 e il 2023. Mentre la telemetria di Kaspersky ha permesso di chiarire il set di strumenti del gruppo e la sua possibile connessione con Turla.
Come agisce
L’attore della minaccia prende di mira enti governativi e diplomatici della CSI con l’obiettivo di rubare documenti interni. Le vittime occasionali scoperte in altre regioni (come il Medio Oriente o il Sud-Est asiatico) si rivelano essere organizzazioni di rappresentanza dei Paesi della CSI, a dimostrazione di quanto sia circoscritto il focus di Tomiris. Colpisce le sue vittime utilizzando un’ampia varietà di vettori di attacco. Si va dalle e-mail di spear phishing con contenuti dannosi allegati (archivi protetti da password, documenti malevoli, LNK armati) dirottamento DNS allo sfruttamento delle vulnerabilità (in particolare ProxyLogon), download drive-by sospetti e altri metodi “creativi”.
Focus su APT Tomiris e le sue installazioni malware
Quello che caratterizza le operazioni più recenti di Tomiris è che molto probabilmente hanno sfruttato i malware KopiLuwak e TunnusSched, precedentemente collegati a Turla. Nonostante la condivisione di questo toolkit, l’ultima ricerca di Kaspersky spiega che verosimilmente Turla e Tomiris sono attori diversi che potrebbero scambiarsi il know-how. Tomiris è senza dubbio di lingua russa, ma i suoi obiettivi e i suoi affari sono molto diversi da quelli di Turla. Inoltre, l’approccio generale di Tomiris all’intrusione e il limitato interesse per le azioni furtive non corrispondono ai metodi di lavoro documentati da Turla.
Le sue peculiarità
Tuttavia, i ricercatori di Kaspersky ritengono che la condivisione degli strumenti sia una potenziale prova di una certa cooperazione tra i due gruppi, la cui portata è difficile da valutare. In ogni caso, a seconda di quando Tomiris ha iniziato a usare KopiLuwak, potrebbe essere necessario riesaminare alcune campagne e strumenti presumibilmente legati a Turla.
Condividere l’intelligence
Pierre Delcher, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team (GReAT) La nostra ricerca dimostra che l’uso di KopiLuwak o TunnusSched non è sufficiente per collegare i cyberattacchi a Turla. Per quanto ne sappiamo, questo set di strumenti è attualmente utilizzato da Tomiris, che riteniamo sia un gruppo distinto rispetto a Turla, anche se è probabile che abbiano collaborato.
Attualmente l’esame delle tattiche e dei campioni di malware ci porta solo fino a questo punto e spesso viene ricordato che gli attori delle minacce sono soggetti a vincoli organizzativi e politici. Questa indagine illustra i limiti dell’attribuzione tecnica, che possiamo superare solo attraverso la condivisione dell’intelligence.
Come proteggersi: i consigli di Kaspersky
Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce. Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce dell’azienda fornendo dati su cyberattacchi e approfondimenti raccolti da Kaspersky in oltre 20 anni.
Aggiornare il team di cybersecurity per affrontare le più recenti minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti di GReAT.
Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
Focus su APT Tomiris
Oltre ad adottare una protezione essenziale degli endpoint, è importante implementare una soluzione di sicurezza di livello aziendale. Una soluzione che rilevi precocemente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
Molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering. Importante perciò introdurre training di security awarness e trasmettere le competenze necessarie al proprio team, ad esempio attraverso Kaspersky Automated Security Awareness Platform
