El grupo Turla renueva su arsenal

23 julio, 2019
27 Compartido 2,670 Visualizaciones

Los investigadores de Kaspersky han descubierto que el actor de amenazas de habla rusa Turla ha renovado su conjunto de herramientas: su famoso malware JavaScript KopiLuwak incluye un nuevo dropper llamado Topinambour, creando dos versiones similares en otros idiomas, y distribuyendo el malware a través de paquetes de instalación infectados de software para evitar la censura en Internet, entre otros.  Topinambour fue descubierto en una operación contra entidades gubernamentales a principios de 2019.

Turla es un grupo APT de alto nivel de habla rusa con interés en el ciberespionaje a objetivos relacionados con el gobierno y la diplomacia. Conocido por su carácter innovador y por su malware KopiLuwak, identificado por primera vez a finales de 2016. En 2019, los investigadores de Kaspersky han descubierto nuevas herramientas y técnicas más sigilosas introducidas por el actor de amenazas que ayudan a minimizar su detección.

Topinambour es un nuevo archivo.NET, utilizado por Turla, para distribuir y liberar su JavaScript KopiLuwak a través de paquetes de instalación infectados para programas de software legítimos como clientes VPNs para eludir la censura de Internet.

KopiLuwak está diseñado para el ciberespionaje y el último proceso de infección de Turla incluye técnicas que ayudan a evitar su detección.  Por ejemplo, la infraestructura de comando y control tiene IPs que parecen imitar direcciones LAN ordinarias. Además, el malware es fileless (sin archivos) -en la etapa final de la infección, un troyano cifrado para la administración remota se incrustado en el registro del ordenador para que el malware pueda acceder cuando esté listo.

Los dos análogos de KopiLuwak: el troyano .NET RocketMan y el troyano PowerShell MiamiBeach también han sido diseñados para el ciberespionaje.  Los investigadores creen que estas versiones se despliegan contra objetivos que hayan instalado un software de seguridad capaz de detectar KopiLuwak. Si la instalación se realiza correctamente, las tres versiones pueden:

  • Validar el sistema infectado (para entender qué tipo de equipo ha sido infectado y si es relevante)
  • Recopilar información sobre el sistema y sus adaptadores de red
  • Robar archivos
  • Descargar y ejecutar malware adicional
  • MiamiBeach también puede tomar capturas de pantalla

«En 2019, Turla resurgió con un conjunto de herramientas renovado, introduciendo una serie de nuevas capacidades que posiblemente minimicen la detección por parte de los investigadores y las soluciones de seguridad. Esto incluye la reducción de la huella digital del malware y la creación de dos versiones diferentes pero similares del conocido malware de KopiLuwak. El abuso de los paquetes de instalación para software VPN que pueden eludir la censura en Internet sugiere que los atacantes han definido claramente los objetivos de ciberespionaje para estas herramientas. La continua evolución del arsenal de Turla nos recueda la necesidad de un software de seguridad e inteligencia de amenazas que pueda proteger contra las últimas herramientas y técnicas utilizadas por las APTs.  Por ejemplo, la protección de endpoints y la comprobación de los archivos después de descargar el software de instalación ayudaría a proteger contra amenazas como Topinambour», señala Kurt Baumgartner, investigador principal de seguridad de Kaspersky.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

BOTECH FPI recibe una importante financiación del CDTI a través del Fondo Europeo de Desarrollo Regional
Actualidad
21 compartido1,316 visualizaciones
Actualidad
21 compartido1,316 visualizaciones

BOTECH FPI recibe una importante financiación del CDTI a través del Fondo Europeo de Desarrollo Regional

Vicente Ramírez - 9 octubre, 2019

Un equipo de 15 personas y 17 meses de trabajo para la creación del proyecto reconocido. El equipo de BOTECH…

CPP Group Spain refuerza su apuesta por la protección digital
Actualidad
7 compartido1,321 visualizaciones
Actualidad
7 compartido1,321 visualizaciones

CPP Group Spain refuerza su apuesta por la protección digital

Vicente Ramírez - 6 julio, 2018

La compañía ha lanzado la oferta digital más completa del mercado dirigida tanto a particulares y familias como a pymes…

Los bancos españoles tendrán que implantar más de 100 nuevas regulaciones en el periodo 2018-2022
Actualidad
9 compartido1,115 visualizaciones
Actualidad
9 compartido1,115 visualizaciones

Los bancos españoles tendrán que implantar más de 100 nuevas regulaciones en el periodo 2018-2022

Vicente Ramírez - 16 agosto, 2018

La normativa sobre solvencia es la que ha tenido un mayor impacto agregado en las entidades, seguida de las de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.