Nuove minacce da parte degli APT russi Turla e Sofacy

09/10/2018

Apt malware Sofacy Turla

Uno studio di Karpersky Lab ha mostrato che le attività criminali del gruppo Turla, conosciuto anche sotto i nomi di Venomous Beare Uroboros, sono in aumento e sovrapposte a quelle del gruppo di cyber-spionaggio Sofacy (alias APT 28, Fancy Bear, Pawn Storm, Sednit e Strontium).

I ricercatori hanno riscontrato obiettivi simili tra i due gruppi, in particolare soggetti sensibili a livello politico, come enti di ricerca e sicurezza governativi, organizzazione diplomatiche ed enti per la sicurezza militare, prevalentemente concentrati in Asia centrale.

I risultati della ricerca illustrano la recente evoluzione delle attività delle seguenti quattro famiglie di malware attivi e riconducibili all’autore di minacce Turla:

1) KopiLuwak e IcedCoffeer
2) Carbon
3) Mosquito
4) WhiteBear


KopiLuwak e IcedCoffee

Secondo Kurt Baumgartner, uno dei più principali ricercatori di Karpersky Lab, la backdoor javascript KopiLuwak, un evoluzione della backdoor IcedCoffee rilevata già nel 2016, è legata al gruppo Turla. Essa utilizza per la prima volta tecniche di spear-phishing per veicolare Zebrocy, un malware legato a Sofacy e recentemente anche di Turla. La prova di tale collegamento è data dal ritrovamento di macchine in Europa e Asia infettate dalla backdoor Mosquito legata al gruppo Turla. Dal 2016, la backdoor JavaScript di KopiLuwak si è evoluta e Kaspersky ha condiviso i dettagli tecnici sulle sue modifiche. L’ultima osservazione risale alla metà del 2018 su un piccolo gruppo di sistemi localizzati in Siria e Afghanistan, dove è stato osservato codice già utilizzato in una precedente campagna spear-phishing volta a distribuire il malware Zebrocy, già famoso nel 2016 per attacchi contro il Ministero degli Affari Esteri di Cipro.

KopiLuwak utilizza script Javascript ampiamente offuscati per evitare il rilevamento e diventa persistente nel computer della vittima creando una chiave di registro di Windows. Dopo aver infettato il sistema, il codice malevolo è in grado di eseguire una serie di comandi per l’estrazione di informazioni e dati sensibili. I dati estratti vengono memorizzati in un file temporaneo che viene eliminato dopo essere stato crittografato e memorizzato in memoria. Il malware utilizza un insieme di siti Web compromessi, i cui indirizzi IP sono codificati nel codice e riceve comandi arbitrari dal C&C usando Wscript.shell.run(). Nell’immagine sottostante possiamo osservare un confronto tra il codice del file .lnk contenente lo script codificato in Base64, nel primo caso (Figura 1) utilizzato da Turla e nel secondo caso (Figura 2) da Zebrocy.

Il vettore di consegna utilizzato nelle campagne di spear-phishing condotte da Turla utilizza collegamenti Windows (file di estensione .LNK) contenente un codice PowerShell quasi identico a quello utilizzato negli attacchi condotti dal gruppo Sofacy. L’attacco è stato rilevato a metà del 2018 in Siria e Afghanistan. Gli esperti ritengono che Turla continuerà a migliorare il proprio arsenale d’attacco e prendere di mira le organizzazioni in altre parti del mondo.


Carbon

La ricerca evidenzia la modifica del codice di Carbon con la presenza di meterpreter, giù utilizzato in tools open source tra la fine del 2017 e inizio 2018. I ricercatori prevedono che le modifiche alla struttura di Carbon porteranno alla diffusione del malware entro il 2019 nelle zone dell’Asia centrale e location collegate.


Mosquito

Le analisi di Karpersky evidenziato modifiche, sempre ad opera del gruppo Turla, del codice di Mosquito. I ricercatori prevedono lo sviluppo di ulteriore codice open source e componenti derivati da Mosquito nel 2018.


Diffusione degli attacchi di Turla APT


Conclusioni

Turla è uno dei più longevi, resistenti e abili autori di minacce. La ricerca di Karpersky sulle principali famiglie di malware nel corso del 2018 mostra che Turla continua a destare preoccupazione. Anche se al momento non esistono allarmanti evidenze di diffusione nel territorio italiano, si consiglia alle organizzazioni di mettere in atto tutti gli accorgimenti necessari per evitare di diventare vittima di attacchi di tipo APT.


Indicatori di compromissione

  • IoC da fonti OSINT (Eset) (Proofpoint)
  • IoC di recente rilevazione rilevati da fonte CLOSINT (.txt)