Kaspersky ha publicado una nueva investigación sobre el grupo de Amenazas Persistentes Avanzadas APT Tomiris, el cual se centra en la recopilación de inteligencia en Asia Central.
APT Tomiris un actor de habla rusa utiliza una amplia variedad de implantes de malware desarrollados a paso veloz y en todos los lenguajes de programación imaginables, presumiblemente para obstruir la atribución.
Es importante tener en cuenta que las APT (Amenazas Persistentes Avanzadas) son grupos de ciberdelincuentes altamente sofisticados y con recursos que trabajan en campañas de espionaje cibernético, robo de información y otras actividades ilegales. La atribución es el proceso de identificar y asignar responsabilidad a un actor de amenazas específico por un ataque cibernético.
En cuanto a los implantes de malware utilizados por APT Tomiris, es común que los actores de amenazas desarrollen malware en varios lenguajes de programación para evitar ser detectados por herramientas de seguridad específicas. La variedad de lenguajes de programación utilizados también puede dificultar la atribución, ya que puede ser difícil determinar la fuente del ataque.
Sin embargo, es importante tener en cuenta que los expertos en seguridad cibernética están constantemente investigando y desarrollando nuevas herramientas y técnicas para identificar y atribuir ataques a los actores de amenazas específicos, por lo que es posible que APT Tomiris sea identificado y responsabilizado por sus actividades ilegales.
Es interesante que APT Tomiris esté utilizando malware que antes se había relacionado con el grupo APT Turla. Esto podría indicar una posible relación entre los dos grupos de amenazas, o simplemente podría ser un intento de Tomiris de obstruir la atribución, haciéndolo parecer que Turla está detrás de los ataques.
Es importante destacar que los grupos APT a menudo comparten herramientas y técnicas, y en ocasiones incluso colaboran entre sí. Esto puede ser especialmente cierto en el caso de grupos patrocinados por estados, que pueden compartir recursos y tecnologías.
Dicho esto, también es común que los actores de amenazas realicen operaciones de bandera falsa, en las que intentan hacer que parezca que otro grupo está detrás de sus ataques. Esto puede ser parte de una estrategia más amplia para evitar la atribución y confundir a los investigadores de seguridad.
En cualquier caso, es importante que los investigadores de seguridad continúen monitoreando y analizando las actividades de APT Tomiris y otros grupos de amenazas para identificar y mitigar posibles amenazas a la seguridad.
La amenaza persistente avanzada de habla rusa implementa técnicas previamente vinculadas al grupo de APT Turla
Kaspersky detalló públicamente a APT Tomiris en septiembre de 2021, después de su investigación sobre un ataque de secuestro de sistema de nombres de dominio (DNS) contra una institución gubernamental de la Comunidad de Estados Independientes (CEI).
El secuestro de DNS es una técnica de ataque en la que un actor de amenazas toma el control de un servidor DNS y lo utiliza para redirigir el tráfico de Internet hacia sitios web maliciosos. Este tipo de ataque puede ser muy peligroso, ya que permite al atacante interceptar y recopilar información confidencial, como contraseñas y otra información de inicio de sesión.
En el caso de la investigación de Kaspersky, se descubrió que APT Tomiris estaba detrás del ataque de secuestro de DNS contra la institución gubernamental de la CEI.
Además, Kaspersky también encontró que APT Tomiris estaba utilizando una amplia variedad de herramientas y técnicas de ataque para llevar a cabo sus operaciones maliciosas.
Es importante destacar que la divulgación pública de la actividad de APT Tomiris por parte de Kaspersky es un paso importante para aumentar la conciencia sobre las amenazas cibernéticas y para ayudar a las organizaciones a protegerse contra los ataques de los grupos de amenazas avanzados.
Los expertos en seguridad cibernética continuarán monitoreando y analizando las actividades de APT Tomiris y otros grupos de amenazas para identificar y mitigar posibles riesgos a la seguridad.
Los investigadores inicialmente notaron similitudes no concluyentes entre el ataque de APT Tomiris y el incidente de SolarWinds en septiembre de 2021. Aunque estas similitudes no fueron concluyentes, pueden haber llevado a una mayor investigación por parte de los expertos en seguridad cibernética.
Desde entonces, los investigadores han continuado rastreando las actividades de APT Tomiris en varias campañas de ataques nuevos en el período comprendido entre 2021 y 2023.
La telemetría de Kaspersky ha permitido a los investigadores arrojar luz sobre el conjunto de herramientas utilizado por el grupo y su posible conexión con Turla.
Es importante tener en cuenta que los grupos de amenazas avanzadas, como APT Tomiris y Turla, a menudo utilizan herramientas y técnicas similares en sus operaciones, lo que puede dificultar la atribución y la identificación de los actores de amenazas específicos.
Sin embargo, la investigación continua y el análisis de la telemetría pueden ayudar a los expertos en seguridad cibernética a identificar patrones y conexiones que pueden ayudar a mitigar posibles riesgos a la seguridad.
En resumen, aunque aún no se ha establecido una conexión concluyente entre APT Tomiris y Turla, la investigación y el análisis continuos pueden ayudar a los expertos en seguridad cibernética a identificar y mitigar las amenazas de los grupos de amenazas avanzadas.
APT Tomiris ha estado apuntando a entidades gubernamentales y diplomáticas en la Comunidad de Estados Independientes (CEI) con el objetivo de robar documentos internos. Las víctimas ocasionales que han sido descubiertas en otras regiones, como Oriente Medio o el Sudeste Asiático, resultan ser representaciones extranjeras de países de la CEI, lo que sugiere que Tomiris tiene un enfoque limitado.
Es común que los actores de amenazas avanzados tengan un enfoque limitado y específico en sus objetivos. En el caso de APT Tomiris, su enfoque en las entidades gubernamentales y diplomáticas de la CEI sugiere que el grupo está interesado en la recopilación de información estratégica y política. Las víctimas ocasionales descubiertas en otras regiones pueden ser representaciones extranjeras de países de la CEI, lo que puede indicar que Tomiris está buscando información adicional sobre estos países.
Es importante destacar que los actores de amenazas avanzados, como APT Tomiris, pueden representar una amenaza significativa para la seguridad de las entidades gubernamentales y diplomáticas.
Es fundamental que estas entidades implementen medidas de seguridad cibernética sólidas para mitigar los riesgos de los ataques cibernéticos. Esto incluye el uso de soluciones de seguridad avanzadas, la educación y concientización sobre seguridad cibernética para el personal y la implementación de políticas y prácticas de seguridad cibernética sólidas.
APT Tomiris es un grupo de hackers que se dedica a llevar a cabo ataques cibernéticos sofisticados utilizando una amplia variedad de vectores de ataque para alcanzar sus objetivos.
Algunos de los vectores de ataque utilizados por APT Tomiris incluyen:
Correos electrónicos de phishing dirigidos con adjuntos maliciosos: Esta técnica se utiliza para engañar a los usuarios y hacer que descarguen archivos maliciosos o hagan clic en enlaces que redirigen a sitios web maliciosos. Estos correos electrónicos suelen parecer legítimos y se envían a personas específicas que pueden tener información valiosa.
- Secuestro de DNS: Esta técnica se utiliza para redirigir el tráfico de Internet a sitios web maliciosos. Los atacantes pueden modificar la configuración del servidor DNS para redirigir el tráfico de Internet a sus propios servidores y así interceptar la información que se envía y se recibe.
- Explotación de vulnerabilidades: APT Tomiris utiliza herramientas y técnicas avanzadas para explotar vulnerabilidades en software y sistemas operativos. Una de las vulnerabilidades específicas que ha explotado APT Tomiris es ProxyLogon, que afecta a los servidores Exchange de Microsoft.
Descargas ocultas sospechosas: APT Tomiris utiliza técnicas avanzadas para ocultar descargas sospechosas en dispositivos de destino. Estas descargas pueden incluir archivos maliciosos que pueden ser utilizados para tomar el control del dispositivo y acceder a información confidencial.
Es importante tener en cuenta que APT Tomiris es un grupo de hackers sofisticado y altamente capacitado. Para protegerse contra los ataques de este tipo, es importante mantener los sistemas y el software actualizados, utilizar software de seguridad y ser consciente de los correos electrónicos sospechosos y los sitios web que parecen sospechosos. Además, es importante utilizar contraseñas seguras y no compartir información confidencial con desconocidos.
Relaciones entre las herramientas de Tomiris
Las flechas indican un enlace de distribución (principal distribuido, descargado o contenido secundario)
Lo que hace que las operaciones más recientes de Tomiris sean especiales es que, con un nivel de confianza medio a alto, aprovecharon los malware KopiLuwak y TunnusSched que anteriormente estaban conectados a Turla.
Sin embargo, a pesar de compartir este conjunto de herramientas, la última investigación de Kaspersky explica que es muy probable que Turla y Tomiris sean actores separados que podrían estar intercambiando técnicas.
Sin duda, Tomiris es de habla rusa, pero su orientación y actividades están significativamente en desacuerdo con lo que se ha observado sobre Turla.
Además, el enfoque general de Tomiris hacia la intrusión y el interés limitado en el sigilo no coinciden con las técnicas documentadas de Turla.
Sin embargo, los investigadores de Kaspersky creen que compartir herramientas es una prueba potencial de cierta cooperación entre Tomiris y Turla, cuyo alcance es difícil de evaluar.
En cualquier caso, dependiendo de cuándo Tomiris comenzó a usar KopiLuwak, es posible que sea necesario reevaluar una serie de campañas y herramientas que se cree están vinculadas a Turla.
“Nuestra investigación muestra que el uso de KopiLuwak o TunnusSched ahora es insuficiente para vincular los ciberataques a Turla.
Hasta donde sabemos, Tomiris aprovecha este conjunto de herramientas, que creemos firmemente es distinto a Turla, aunque es probable que ambos actores hayan cooperado en algún momento.
El observar las tácticas y las muestras de malware solo nos lleva hasta cierto punto, y a menudo nos sirve como recordatorio de que los actores de amenazas están sujetos a restricciones organizativas y políticas.
Esta investigación ilustra los límites de la atribución técnica, que solo podemos superar mediante el intercambio de inteligencia”, comenta Pierre Delcher, investigador senior de seguridad del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.
Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
La inteligencia de amenazas es una herramienta crítica para la seguridad cibernética, ya que ayuda a las organizaciones a mantenerse al tanto de las últimas tendencias y amenazas en el panorama de la seguridad. Al proporcionar información sobre las últimas técnicas de ataque, los tipos de malware y las vulnerabilidades de software conocidas, la inteligencia de amenazas ayuda a las organizaciones a tomar medidas proactivas para proteger sus sistemas y datos.
El acceso a una fuente de inteligencia de amenazas confiable y actualizada puede ser especialmente importante para los equipos de seguridad de operaciones (SOC), ya que les permite detectar amenazas potenciales antes de que se conviertan en un problema real. Al utilizar la inteligencia de amenazas para monitorear constantemente el panorama de la seguridad, los equipos SOC pueden identificar patrones de actividad maliciosa y desarrollar estrategias efectivas de mitigación de riesgos.
Si su equipo SOC no tiene acceso a una fuente de inteligencia de amenazas confiable, es importante considerar invertir en una solución que pueda proporcionar esta información crítica.
Además del portal de inteligencia de amenazas de Kaspersky, hay muchas otras soluciones disponibles en el mercado que pueden ayudar a mantener a su organización segura y protegida contra las últimas amenazas cibernéticas.
La implementación de una solución de detección y respuesta en el endpoint (EDR) como Kaspersky Endpoint Detection and Response puede ser una estrategia efectiva para mejorar la capacidad de un equipo de seguridad para detectar, investigar y responder a los incidentes de seguridad.
Las soluciones de EDR se utilizan para monitorear continuamente los endpoints de una organización, como computadoras portátiles, computadoras de escritorio y servidores, en busca de actividad maliciosa.
Estas soluciones utilizan técnicas avanzadas de detección, como el análisis de comportamiento y la inteligencia artificial, para identificar amenazas cibernéticas, incluso aquellas que pueden pasar desapercibidas para los sistemas de seguridad tradicionales.
Al implementar una solución de EDR como Kaspersky Endpoint Detection and Response, los equipos de seguridad pueden detectar rápidamente cualquier actividad maliciosa en los endpoints y responder a ella de manera oportuna.
La solución proporciona una amplia gama de herramientas de análisis y respuesta que permiten a los equipos de seguridad investigar los incidentes, recopilar información forense y realizar correcciones para minimizar el impacto de los ataques.
Además, Kaspersky Endpoint Detection and Response ofrece una función de respuesta automatizada, que permite a los equipos de seguridad establecer reglas de respuesta automatizadas para ciertos tipos de incidentes. Esto puede reducir el tiempo necesario para responder a los incidentes y minimizar el impacto de los ataques.
En resumen, la implementación de una solución de EDR como Kaspersky Endpoint Detection and Response puede ayudar a los equipos de seguridad a mejorar la detección, investigación y respuesta a los incidentes de seguridad en los endpoints, lo que puede mejorar significativamente la seguridad de una organización.
La implementación de una solución de seguridad de nivel corporativo como Kaspersky Anti Targeted Attack Platform puede ser una estrategia efectiva para detectar amenazas avanzadas en el nivel de la red en una etapa temprana y proteger una organización contra ataques dirigidos y sofisticados.
Kaspersky Anti Targeted Attack Platform utiliza técnicas avanzadas de detección, como la inteligencia artificial y el análisis de comportamiento, para identificar amenazas avanzadas en el nivel de la red. La solución utiliza múltiples capas de seguridad, incluida la protección de endpoints, para proporcionar una protección completa contra ataques dirigidos y sofisticados.
La solución es capaz de detectar y bloquear amenazas en una etapa temprana, antes de que puedan causar daños significativos a una organización. Kaspersky Anti Targeted Attack Platform también proporciona información detallada sobre los ataques, lo que permite a los equipos de seguridad investigar y responder rápidamente a los incidentes.
La solución también incluye una función de sandboxing avanzada, que permite a los equipos de seguridad ejecutar archivos desconocidos en un entorno seguro y controlado para determinar si son maliciosos o no. Esto puede ser especialmente útil para detectar amenazas avanzadas y malware desconocido.
En resumen, la implementación de una solución de seguridad de nivel corporativo como Kaspersky Anti Targeted Attack Platform puede proporcionar una protección completa contra ataques dirigidos y sofisticados en el nivel de la red. La solución utiliza técnicas avanzadas de detección y proporciona información detallada sobre los ataques para permitir una respuesta rápida y efectiva a los incidentes de seguridad.
La capacitación sobre seguridad es una parte fundamental de la estrategia de seguridad de cualquier organización, ya que puede ayudar a reducir significativamente el riesgo de que los empleados se conviertan en la puerta de entrada para ataques dirigidos o caigan en engaños de ingeniería social.
Kaspersky Automated Security Awareness Platform es una solución de capacitación en seguridad que utiliza una combinación de capacitación en línea y simulaciones de phishing para mejorar la conciencia de seguridad de los empleados de una organización. La solución proporciona un enfoque personalizado para la capacitación en seguridad, lo que permite a los empleados aprender habilidades prácticas y mejorar su conciencia de seguridad en su propia línea de trabajo.
La solución incluye una biblioteca de recursos de capacitación en línea que aborda temas como la seguridad de la información, la privacidad, el phishing y la ingeniería social, y está disponible en varios idiomas.
La solución también incluye una función de simulación de phishing, que permite a los equipos de seguridad enviar correos electrónicos de prueba a los empleados para evaluar su capacidad para detectar y evitar el phishing.
Los resultados de la simulación se pueden utilizar para mejorar la capacitación y la conciencia de seguridad de los empleados y para medir la efectividad de la capacitación. La solución también proporciona herramientas de análisis para evaluar la efectividad de la capacitación y la conciencia de seguridad de los empleados.
En resumen, la implementación de una solución de capacitación en seguridad como Kaspersky Automated Security Awareness Platform puede ayudar a mejorar la conciencia de seguridad de los empleados y reducir el riesgo de que los empleados se conviertan en la puerta de entrada para ataques dirigidos o caigan en engaños de ingeniería social. La solución proporciona una capacitación personalizada en línea y una función de simulación de phishing para evaluar la capacidad de los empleados para detectar y evitar el phishing.
APT Tomiris, APT Tomiris, APT Tomiris, APT Tomiris, APT Tomiris, APT Tomiris, APT Tomiris, APT Tomiris, APT Tomiris, APT Tomiris,
Por Marcelo Lozano – eneral Publiser IT CONNECT LATAM
Lea más sobre ciberseuridad en;
SAS Security Services 2023: Continuidad Imperativa
SANS enumera los 5 ciberataques más duros en la RSA
Zero Trust sin Genuine Presence Assurance, no es Zero Trust en el siglo 21
RBAC Buster 2023: exprimiendo Kubernetes para instalar mineros
ZTNA Next, el killer del 100% de las VPN heredadas