Kaspersky
La amenaza persistente avanzada de habla rusa implementa técnicas previamente vinculadas al grupo de APT Turla.
Lo que llamó especialmente la atención de los
investigadores es que Tomiris despliega malware que anteriormente estaba vinculado
a Turla, otro notorio grupo APT. Kaspersky detalló públicamente a Tomiris por
primera vez en septiembre de 2021, luego de la investigación de un secuestro de
un sistema de nombres de dominio (DNS) contra una institución de gobierno de la
Comunidad de Estados Independientes (CEI).
En ese entonces, los investigadores habían
notado similitudes no concluyentes con el incidente de SolarWinds. Continuaron
rastreando a Tomiris como un actor de amenazas independiente en varias campañas
de ataques nuevas entre 2021 y 2023, y la telemetría de Kaspersky permitió
arrojar luz sobre el conjunto de herramientas del grupo y su posible conexión a
Turla.
El actor de amenazas apunta a entidades
gubernamentales y diplomáticas en la CEI con el objetivo final de robar documentos
internos. Las víctimas ocasionales descubiertas en otras regiones (como Oriente
Medio o el Sudeste Asiático) resultan ser representaciones extranjeras de
países de la CEI, lo que ilustra el enfoque limitado de Tomiris.
Tomiris persigue a sus víctimas utilizando
una amplia variedad de vectores de ataque: correos electrónicos de phishing
dirigidos con adjuntos maliciosos (archivos protegidos con contraseña,
documentos maliciosos, LNK armados), secuestro de DNS, explotación de
vulnerabilidades (específicamente ProxyLogon), descargas ocultas sospechosas y
otros métodos “creativos”.
Relaciones entre las herramientas de Tomiris.
Las flechas indican un enlace de distribución (principal distribuido,
descargado o contenido secundario)
Lo que hace que las operaciones más recientes
de Tomiris sean especiales es que, con un nivel de confianza medio a alto,
aprovecharon los malware KopiLuwak y TunnusSched que anteriormente estaban
conectados a Turla. Sin embargo, a pesar de compartir este conjunto de herramientas,
la última investigación de Kaspersky explica que es muy probable que Turla y
Tomiris sean actores separados que podrían estar intercambiando técnicas.
Sin duda, Tomiris es de habla rusa, pero su
orientación y actividades están significativamente en desacuerdo con lo que se
ha observado sobre Turla. Además, el enfoque general de Tomiris hacia la
intrusión y el interés limitado en el sigilo no coinciden con las técnicas
documentadas de Turla. Sin embargo, los investigadores de Kaspersky creen que
compartir herramientas es una prueba potencial de cierta cooperación entre
Tomiris y Turla, cuyo alcance es difícil de evaluar. En cualquier caso,
dependiendo de cuándo Tomiris comenzó a usar KopiLuwak, es posible que sea
necesario reevaluar una serie de campañas y herramientas que se cree están
vinculadas a Turla.
“Nuestra investigación muestra que el uso de
KopiLuwak o TunnusSched ahora es insuficiente para vincular los ciberataques a
Turla. Hasta donde sabemos, Tomiris aprovecha este conjunto de herramientas,
que creemos firmemente es distinto a Turla, aunque es probable que ambos
actores hayan cooperado en algún momento. El observar las tácticas y las
muestras de malware solo nos lleva hasta cierto punto, y a menudo nos sirve
como recordatorio de que los actores de amenazas están sujetos a restricciones organizativas
y políticas. Esta investigación ilustra los límites de la atribución técnica,
que solo podemos superar mediante el intercambio de inteligencia”, comenta
Pierre Delcher, investigador senior de seguridad del Equipo de Análisis e
Investigación Global (GReAT) de Kaspersky.
No hay comentarios:
Publicar un comentario