Un grup de hackeri, vorbitori de rusă, atacă entități guvernamentale din CSI
0Kaspersky a lansat o nouă investigație asupra grupului Tomiris APT, care se concentrează pe colectarea de informații în Asia Centrală. Acest grup, vorbitor de limba rusă, folosește o mare varietate de implanturi malware dezvoltate într-un ritm rapid și în toate limbajele de programare imaginabile, probabil pentru a împiedica atribuirea.
Atacatorul vizează entitățile guvernamentale și diplomatice din CSI, cu scopul final de a fura documente interne. Victimele ocazionale descoperite în alte regiuni (cum ar fi Orientul Mijlociu sau Asia de Sud-Est) se dovedesc a fi reprezentanți externi ai țărilor CSI, ilustrând focalizarea îngustă a lui Tomiris.
Tomiris își urmărește victimele folosind o mare varietate de vectori de atac: e-mailuri de tip spear-phishing cu conținut rău intenționat atașat (arhive protejate cu parolă, documente rău intenționate, LINK-uri armate), hijacking DNS, exploatarea vulnerabilităților (în special ProxyLogon), descărcări suspectate drive-by și alte metode „creative”.
Ceea ce diferențiază cele mai recente operațiuni ale lui Tomiris este faptul că, cu un nivel de încredere medie spre mare, au folosit programe malware KopiLuwak și TunnusSched care au fost asociate anterior cu Turla. Cu toate acestea, în ciuda împărtășirii acestui set de instrumente, cea mai recentă cercetare a Kaspersky explică că Turla și Tomiris sunt, foarte probabil, actori separați, care ar putea face schimb de informații în ceea ce privește activitatea rău intenționată.
Tomiris este, fără îndoială, vorbitor de limbă rusă, dar țintirea și instrumentele sale sunt semnificativ în contradicție cu ceea ce s-a observat pentru Turla. În plus, abordarea generală a Tomiris asupra intruziunii și interesul limitat pentru escamotare nu se potrivesc cu instrumentele Turla documentate. Cu toate acestea, cercetătorii Kaspersky cred că partajarea instrumentelor este o dovadă potențială a unei cooperări între Tomiris și Turla, a cărei amploare este dificil de evaluat. În orice caz, în funcție de momentul în care Tomiris a început să folosească KopiLuwak, o serie de campanii și instrumente despre care se crede că sunt legate de Turla ar putea, de fapt, să necesite o reevaluare.
Citiți raportul complet despre grupul APT Tomiris pe Securelist.
Pentru a evita să devină victima unui atac țintit din partea unui actor de amenințare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:
- Oferiți echipei SOC acces la cele mai recente informații despre amenințări (TI).
- Îmbunătățiți abilitățile echipei de securitate cibernetică pentru a aborda cele mai recente amenințări vizate cu ajutorul cursurilor online;
- Pentru detectarea, investigarea și remedierea la timp a incidentelor la nivel endpoint, implementați soluții EDR;
- Pe lângă adoptarea protecției esențiale la nivel endpoint, implementați o soluție de securitate la nivel corporativ care detectează amenințările avansate la nivel de rețea într-un stadiu incipient;
- Deoarece multe atacuri direcționate încep cu phishing sau alte tehnici de inginerie socială, introduceți cursuri de conștientizare a securității și prezentați echipei dumneavoastră modalități de dobândire a abilităților practice.