Kaspersky ha pubblicato una nuova indagine sul gruppo APT Tomiris, che si concentra sulla raccolta di informazioni in Asia centrale. Questo attore di lingua russa utilizza un’ampia varietà di installazioni malware sviluppate a un ritmo sostenuto e in tutti i linguaggi di programmazione possibili, presumibilmente per ostacolarne l’attribuzione. Ciò che ha attirato l’attenzione dei ricercatori è che Tomiris utilizza un malware precedentemente collegato a Turla, un altro noto gruppo APT.
Kaspersky ha descritto Tomiris per la prima volta a settembre 2021, a seguito dell’indagine su un hijack DNS ai danni di una pubblica amministrazione della Comunità degli Stati Indipendenti (CSI). All’epoca, i ricercatori avevano notato somiglianze poco convincenti con l’incidente di Solar Winds. Hanno continuato a seguire Tomiris come attore di minacce separato in diverse nuove campagne di attacco tra il 2021 e il 2023, e la telemetria di Kaspersky ha permesso di chiarire il set di strumenti del gruppo e la sua possibile connessione con Turla.
L’attore della minaccia prende di mira enti governativi e diplomatici della CSI con l’obiettivo di rubare documenti interni. Le vittime occasionali scoperte in altre regioni (come il Medio Oriente o il Sud-Est asiatico) si rivelano essere organizzazioni di rappresentanza dei Paesi della CSI, a dimostrazione di quanto sia circoscritto il focus di Tomiris.
Tomiris colpisce le sue vittime utilizzando un’ampia varietà di vettori di attacco: e-mail di spear phishing con contenuti dannosi allegati (archivi protetti da password, documenti malevoli, LNK armati) dirottamento DNS, sfruttamento delle vulnerabilità (in particolare ProxyLogon), download drive-by sospetti e altri metodi “creativi”.
Relazioni tra gli strumenti di Tomiris. Le frecce indicano il percorso di diffusione (parent distributed, downloaded or contained child)
Quello che caratterizza le operazioni più recenti di Tomiris è che molto probabilmente hanno sfruttato i malware KopiLuwak e TunnusSched, precedentemente collegati a Turla. Nonostante la condivisione di questo toolkit, l’ultima ricerca di Kaspersky spiega che verosimilmente Turla e Tomiris sono attori diversi che potrebbero scambiarsi il know-how.
Tomiris è senza dubbio di lingua russa, ma i suoi obiettivi e i suoi affari sono molto diversi da quelli di Turla. Inoltre, l’approccio generale di Tomiris all’intrusione e il limitato interesse per le azioni furtive non corrispondono ai metodi di lavoro documentati da Turla. Tuttavia, i ricercatori di Kaspersky ritengono che la condivisione degli strumenti sia una potenziale prova di una certa cooperazione tra i due gruppi, la cui portata è difficile da valutare. In ogni caso, a seconda di quando Tomiris ha iniziato a usare KopiLuwak, potrebbe essere necessario riesaminare alcune campagne e strumenti presumibilmente legati a Turla.
“La nostra ricerca dimostra che l’uso di KopiLuwak o TunnusSched non è sufficiente per collegare i cyberattacchi a Turla. Per quanto ne sappiamo, questo set di strumenti è attualmente utilizzato da Tomiris, che riteniamo sia un gruppo distinto rispetto a Turla, anche se è probabile che abbiano collaborato. Attualmente l’esame delle tattiche e dei campioni di malware ci porta solo fino a questo punto e spesso viene ricordato che gli attori delle minacce sono soggetti a vincoli organizzativi e politici. Questa indagine illustra i limiti dell’attribuzione tecnica, che possiamo superare solo attraverso la condivisione dell’intelligence”, ha commentato Pierre Delcher, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team (GReAT).
Per ulteriori informazioni sul gruppo APT Tomiris è possibile consultare il report completo su Securelist.
Per proteggersi da queste tipologie di attacchi mirati da parte di attori noti o sconosciuti, i ricercatori di Kaspersky consigliano di:
- Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce. Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce dell’azienda, che fornisce dati sui cyberattacchi e approfondimenti raccolti da Kaspersky in oltre 20 anni.
- Aggiornare il team di cybersecurity per affrontare le più recenti minacce mirate con la formazione online di Kaspersky sviluppata dagli esperti di GReAT.
- Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
- Oltre ad adottare una protezione essenziale degli endpoint, è importante implementare una soluzione di sicurezza di livello aziendale che rilevi precocemente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
- Dato che molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è importante introdurre training di security awarness e trasmettere le competenze necessarie al proprio team, ad esempio attraverso Kaspersky Automated Security Awareness Platform.
