Kaspersky scopre Topinambour: malware che si nasconde nelle VPN


Il gruppo criminale Turla ha rilasciato nuove varianti del Trojan KopiLuwak. I ricercatori di Kaspersky hanno scoperto che il gruppo di cybercriminali di lingua russa Turla ha rinnovato il set dei suoi strumenti: inserendo il suo famoso JavaScript per la diffusione di malware, KopiLuwak, all'interno di un nuovo dropper, detto Topinambour, creando due versioni simili, in lingue diverse, e distribuendo il malware attraverso pacchetti di installazione infetti, alcuni dei quali legati a software per bypassare eventuali restrizioni nell'uso di Internet. Noto anche come Venomous Bear, Waterbug e Uroboros, il gruppo è stato scoperto nel 2014 ma le sue radici risalgono almeno a dieci anni prima.

I ricercatori ritengono che queste misure siano state ideate per ridurre al minimo le possibilità di rilevamento e per una maggiore precisione nel colpire le vittime a target. Topinambour è stato individuato nel corso di un'operazione contro alcuni enti governativi all'inizio del 2019. Turla è un autore di minacce informatiche di lingua russa e di alto profilo, con uno spiccato interesse per le azioni di cyberspionaggio rivolte contro obiettivi di tipo governativo o diplomatico. Viene considerato un gruppo cybercriminale particolarmente innovativo, conosciuto soprattutto per il suo malware KopiLuwak (il nome deriva da una tipologia di caffè), rilevato per la prima volta alla fine del 2016. Nel 2019 i ricercatori di Kaspersky hanno scoperto l'introduzione, da parte del gruppo, di nuovi strumenti e tecniche che aumentano le capacità di occultamento e aiutano a ridurre al minimo le possibilità di rilevazione.

Uno dei precedenti tool utilizzati dal gruppo è LightNeuron, una sofisticata backdoor progettata per dirottare i server di posta Microsoft Exchange. Topinambour (il nome deriva dall'ortaggio conosciuto anche come "carciofo di Gerusalemme") è un nuovo file .NET che il gruppo Turla sta utilizzando per distribuire e rilasciare il suo JavaScript KopiLuwak sfruttando pacchetti di installazione infetti per programmi software legittimi, come ad esempio le reti private virtuali (VPN), utili per bypassare eventuali blocchi all'uso di Internet. KopiLuwak è progettato appositamente per le azioni di cyberspionaggio e l'ultimo schema di infezione elaborato da Turla comprende anche tecniche specifiche per rendere ancora più difficile il rilevamento del malware. L'infrastruttura di comando e controllo, ad esempio, ha degli indirizzi che cercano di imitare gli IP delle reti private normalmente utilizzate nelle LAN.

Il malware, inoltre, è quasi del tutto "fileless" (letteralmente "senza file")**: la fase finale dell'infezione - un trojan criptato per l'amministrazione da remoto - viene incorporato nel registro del computer in modo che il malware possa accedervi una volta pronto. Anche le due versioni analoghe di KopiLuwak - il Trojan .NET RocketMan e il Trojan PowerShell MiamiBeach - sono progettate per azioni di cyberspionaggio. I ricercatori pensano che queste versioni vengano usate appositamente per la distribuzione contro obiettivi che utilizzano software di sicurezza per il rilevamento di KopiLuwak. Se l'installazione è andata a buon fine, tutte e tre le versioni (KopiLuwak, RocketMan e MiamiBeach) sono in grado di: • Rilevare "l'impronta digitale" degli obiettivi, in modo da capire che tipo di computer è stato infettato; • Raccogliere informazioni su adattatori di sistema e di rete. • Rubare file;


• Scaricare ed eseguire malware aggiuntivi; • MiamiBeach è anche in grado di fare degli screenshot, consegnando dunque tutto ciò che compare sullo schermo ai cyber criminali. "Nel 2019 Turla è tornato alla ribalta, con una serie di tool rinnovati e con l’introduzione di una serie di nuove funzionalità in grado di ridurre al minimo le capacità di rilevamento da parte dei ricercatori e di soluzioni di sicurezza. Tra queste, l’utilizzo di tecniche per ridurre il numero di tracce lasciate dal malware e la creazione di due versioni, diverse ma simili, del noto malware KopiLuwak. Lo sfruttamento di pacchetti di installazione di software VPN*, che si usano per bypassare eventuali restrizioni all'uso di Internet, suggerisce come gli attaccanti abbiano chiaramente definito gli obiettivi delle attività di cyberspionaggio per questo tipo di strumenti", ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky.

"La continua evoluzione dell'arsenale di Turla ci ricorda come sia fondamentale essere costantemente informati sull’intelligence delle minacce e sugli ultimi software di sicurezza in grado di proteggere da strumenti e tecniche utilizzate di recente nelle campagne APT. La protezione degli Endpoint e il controllo degli hash dei file dopo il download di un software di installazione potrebbero rivelarsi utili nella difesa da minacce come Topinambour", ha concluso Baumgartner. Per ridurre le possibilità di diventare vittima di sofisticate operazioni di spionaggio informatico Kaspersky raccomanda di: • Implementare programmi di formazione sulla sicurezza per i dipendenti, che possano aiutare a riconoscere e ad evitare applicazioni o file potenzialmente dannosi. I dipendenti, ad esempio, non dovrebbero mai scaricare e avviare applicazioni o programmi che provengono da fonti non attendibili o sconosciute.

• Per il rilevamento, le indagini e la tempestiva risoluzione di eventuali incidenti a livello degli Endpoint, adottare soluzioni EDR come Kaspersky Endpoint Detection and Response. • Oltre a scegliere una protezione essenziale a livello degli Endpoint, è importante anche implementare una soluzione di sicurezza “corporate-grade” che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform. Mettere a disposizione del proprio team SOC le informazioni più recenti a livello di Threat Intelligence, in modo che la squadra sia sempre aggiornata sugli strumenti, le tecniche e le tattiche, nuove ed emergenti, utilizzate dai principali autori di cyberminacce. Il report completo è già disponibile su Securelist.com. *Le applicazioni per VPN consentono comunicazioni private su reti di computer tramite una tecnologia chiamata tunneling, nota anche come "port forwarding". Via: AdnKronos

** Il malware senza file è un malware che non memorizza il suo corpo direttamente su un disco. Questo tipo di malware è diventato più popolare due anni fa a causa della crescente complessità del rilevamento e della correzione. Tra le diverse offensive ai danni degli sportelli per il prelievo automatico di denaro - in inglese ATM, in Italia noti come bancomat  - ci sono proprio gli attacchi fileless. A tal proposito, nel febbraio 2017 un team di esperti di Kaspersky Lab ha analizzato un caso esemplare: un giorno, gli impiegati di una banca scoprirono un Atm vuoto: i soldi erano scomparsi e non c'era traccia di danni fisici al dispositivo né di malware. Studiando questo furto, i ricercatori sono stati in grado non solo di scoprire i tool usati dai cyber criminali per la rapina ma anche di riprodurre l'attacco, scoprendo una vulnerabilità di sicurezza nella banca. Il caso ATMitch ha aiutato gli esperti ad ottenere il quadro d'insieme. Via: AskaNews



Nessun commento:

Posta un commento