{"id":12340,"date":"2023-05-23T11:40:53","date_gmt":"2023-05-23T16:40:53","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=12340"},"modified":"2023-05-23T11:41:00","modified_gmt":"2023-05-23T16:41:00","slug":"kaspersky-investiga-al-grupo-de-apt-tomiris-que-ataca-a-entidades-gubernamentales","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/kaspersky-investiga-al-grupo-de-apt-tomiris-que-ataca-a-entidades-gubernamentales\/","title":{"rendered":"Kaspersky investiga al grupo de APT Tomiris que ataca a entidades gubernamentales"},"content":{"rendered":"\n

La amenaza persistente avanzada de habla rusa implementa t\u00e9cnicas previamente vinculadas al grupo de APT Turla<\/em><\/p>\n\n\n\n

Kaspersky ha publicado una nueva investigaci\u00f3n sobre el grupo de Amenazas Persistentes Avanzadas (APT) Tomiris, el cual se centra en la recopilaci\u00f3n de inteligencia en Asia Central. Este actor de habla rusa utiliza una amplia variedad de implantes de malware desarrollados a paso veloz y en todos los lenguajes de programaci\u00f3n imaginables, presumiblemente para obstruir la atribuci\u00f3n. Lo que llam\u00f3 especialmente la atenci\u00f3n de los investigadores es que Tomiris despliega malware que anteriormente estaba vinculado a Turla, otro notorio grupo APT.<\/p>\n\n\n\n

Kaspersky detall\u00f3 p\u00fablicamente a Tomiris<\/a> por primera vez en septiembre de 2021, luego de la investigaci\u00f3n de un secuestro de un sistema de nombres de dominio (DNS) contra una instituci\u00f3n de gobierno de la Comunidad de Estados Independientes (CEI). En ese entonces, los investigadores hab\u00edan notado similitudes no concluyentes con el incidente de SolarWinds. Continuaron rastreando a Tomiris como un actor de amenazas independiente en varias campa\u00f1as de ataques nuevas entre 2021 y 2023, y la telemetr\u00eda de Kaspersky permiti\u00f3 arrojar luz sobre el conjunto de herramientas del grupo y su posible conexi\u00f3n a Turla.<\/p>\n\n\n\n

El actor de amenazas apunta a entidades gubernamentales y diplom\u00e1ticas en la CEI con el objetivo final de robar documentos internos. Las v\u00edctimas ocasionales descubiertas en otras regiones (como Oriente Medio o el Sudeste Asi\u00e1tico) resultan ser representaciones extranjeras de pa\u00edses de la CEI, lo que ilustra el enfoque limitado de Tomiris.<\/p>\n\n\n\n

Tomiris persigue a sus v\u00edctimas utilizando una amplia variedad de vectores de ataque: correos electr\u00f3nicos de phishing <\/em>dirigidos con adjuntos maliciosos (archivos protegidos con contrase\u00f1a, documentos maliciosos, LNK armados), secuestro de DNS, explotaci\u00f3n de vulnerabilidades (espec\u00edficamente ProxyLogon<\/a>), descargas ocultas sospechosas y otros m\u00e9todos \u201ccreativos\u201d.<\/p>\n\n\n\n

Relaciones entre las herramientas de Tomiris. Las flechas indican un enlace de distribuci\u00f3n (principal distribuido, descargado o contenido secundario)<\/strong><\/p>\n\n\n\n

Lo que hace que las operaciones m\u00e1s recientes de Tomiris sean especiales es que, con un nivel de confianza medio a alto, aprovecharon los malware KopiLuwak y TunnusSched que anteriormente estaban conectados a Turla. Sin embargo, a pesar de compartir este conjunto de herramientas, la \u00faltima investigaci\u00f3n de Kaspersky explica que es muy probable que Turla y Tomiris sean actores separados que podr\u00edan estar intercambiando t\u00e9cnicas.<\/p>\n\n\n\n

Sin duda, Tomiris es de habla rusa, pero su orientaci\u00f3n y actividades est\u00e1n significativamente en desacuerdo con lo que se ha observado sobre Turla. Adem\u00e1s, el enfoque general de Tomiris hacia la intrusi\u00f3n y el inter\u00e9s limitado en el sigilo no coinciden con las t\u00e9cnicas documentadas de Turla. Sin embargo, los investigadores de Kaspersky creen que compartir herramientas es una prueba potencial de cierta cooperaci\u00f3n entre Tomiris y Turla, cuyo alcance es dif\u00edcil de evaluar. En cualquier caso, dependiendo de cu\u00e1ndo Tomiris comenz\u00f3 a usar KopiLuwak, es posible que sea necesario reevaluar una serie de campa\u00f1as y herramientas que se cree est\u00e1n vinculadas a Turla.<\/p>\n\n\n\n

\u201cNuestra investigaci\u00f3n muestra que el uso de KopiLuwak o TunnusSched ahora es insuficiente para vincular los ciberataques a Turla. Hasta donde sabemos, Tomiris aprovecha este conjunto de herramientas, que creemos firmemente es distinto a Turla, aunque es probable que ambos actores hayan cooperado en alg\u00fan momento. El observar las t\u00e1cticas y las muestras de malware solo nos lleva hasta cierto punto, y a menudo nos sirve como recordatorio de que los actores de amenazas est\u00e1n sujetos a restricciones organizativas y pol\u00edticas. Esta investigaci\u00f3n ilustra los l\u00edmites de la atribuci\u00f3n t\u00e9cnica, que solo podemos superar mediante el intercambio de inteligencia\u201d, <\/em>comenta Pierre Delcher, investigador senior de seguridad del Equipo de An\u00e1lisis e Investigaci\u00f3n Global (GReAT) de Kaspersky<\/strong>.<\/p>\n\n\n\n

Para evitar ser v\u00edctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:<\/p>\n\n\n\n