Una recente indagine Kaspersky si è focalizzata sul gruppo di lingua russa APT Tomiris, che raccoglie informazioni in Asia centrale e utilizza diverse installazioni malware. L’ampia varietà di installazioni malware viene sviluppata a un ritmo sostenuto e in tutti i linguaggi di programmazione possibili, presumibilmente per ostacolarne l’attribuzione. Ciò che ha attirato l’attenzione dei ricercatori è che Tomiris utilizza un malware precedentemente collegato a Turla, un altro noto gruppo APT.
Diverse campagne di attacco
Kaspersky ha descritto Tomiris per la prima volta a settembre 2021, a seguito dell’indagine su un hijack DNS ai danni di una pubblica amministrazione della Comunità degli Stati Indipendenti (CSI). I ricercatori avevano notato somiglianze poco convincenti con l’incidente di Solar Winds. Hanno continuato a seguire Tomiris come attore di minacce separato in diverse nuove campagne di attacco tra il 2021 e il 2023. Mentre la telemetria di Kaspersky ha permesso di chiarire il set di strumenti del gruppo e la sua possibile connessione con Turla.
Come agisce
L’attore della minaccia prende di mira enti governativi e diplomatici della CSI con l’obiettivo di rubare documenti interni. Le vittime occasionali scoperte in altre regioni (come il Medio Oriente o il Sud-Est asiatico) si rivelano essere organizzazioni di rappresentanza dei Paesi della CSI, a dimostrazione di quanto sia circoscritto il focus di Tomiris. Colpisce le sue vittime utilizzando un’ampia varietà di vettori di attacco. Si va dalle e-mail di spear phishing con contenuti dannosi allegati (archivi protetti da password, documenti malevoli, LNK armati) dirottamento DNS allo sfruttamento delle vulnerabilità (in particolare ProxyLogon), download drive-by sospetti e altri metodi “creativi”.
Focus su APT Tomiris e le sue installazioni malware
Quello che caratterizza le operazioni più recenti di Tomiris è che molto probabilmente hanno sfruttato i malware KopiLuwak e TunnusSched, precedentemente collegati a Turla. Nonostante la condivisione di questo toolkit, l’ultima ricerca di Kaspersky spiega che verosimilmente Turla e Tomiris sono attori diversi che potrebbero scambiarsi il know-how. Tomiris è senza dubbio di lingua russa, ma i suoi obiettivi e i suoi affari sono molto diversi da quelli di Turla. Inoltre, l’approccio generale di Tomiris all’intrusione e il limitato interesse per le azioni furtive non corrispondono ai metodi di lavoro documentati da Turla.
Le sue peculiarità
Tuttavia, i ricercatori di Kaspersky ritengono che la condivisione degli strumenti sia una potenziale prova di una certa cooperazione tra i due gruppi, la cui portata è difficile da valutare. In ogni caso, a seconda di quando Tomiris ha iniziato a usare KopiLuwak, potrebbe essere necessario riesaminare alcune campagne e strumenti presumibilmente legati a Turla.
Condividere l’intelligence
Pierre Delcher, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team (GReAT)
La nostra ricerca dimostra che l’uso di KopiLuwak o TunnusSched non è sufficiente per collegare i cyberattacchi a Turla. Per quanto ne sappiamo, questo set di strumenti è attualmente utilizzato da Tomiris, che riteniamo sia un gruppo distinto rispetto a Turla, anche se è probabile che abbiano collaborato.Attualmente l’esame delle tattiche e dei campioni di malware ci porta solo fino a questo punto e spesso viene ricordato che gli attori delle minacce sono soggetti a vincoli organizzativi e politici. Questa indagine illustra i limiti dell’attribuzione tecnica, che possiamo superare solo attraverso la condivisione dell’intelligence.
Come proteggersi: i consigli di Kaspersky
- Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce. Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce dell’azienda fornendo dati su cyberattacchi e approfondimenti raccolti da Kaspersky in oltre 20 anni.
- Aggiornare il team di cybersecurity per affrontare le più recenti minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti di GReAT.
- Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
Focus su APT Tomiris
Oltre ad adottare una protezione essenziale degli endpoint, è importante implementare una soluzione di sicurezza di livello aziendale. Una soluzione che rilevi precocemente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
Molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering. Importante perciò introdurre training di security awarness e trasmettere le competenze necessarie al proprio team, ad esempio attraverso Kaspersky Automated Security Awareness Platform