Individuato nel corso di un’operazione contro alcuni enti governativi all’inizio del 2019, Topinambour è un nuovo malware sviluppato dal gruppo di criminal hacker di lingua russa Turla (conosciuto anche come Venomous Bear, Waterbug e Uroboros) che si diffonde sfruttando i pacchetti di installazione di alcuni software leciti, alcuni dei quali legati a software utili a bypassare eventuali restrizioni all’uso di Internet, come ad esempio le VPN.
Uno stratagemma, quello di usare sofisticate tecniche di occultamento per nascondersi all’interno dei software di terze parti, che consente di ridurre al minimo le possibilità di rilevamento e di conseguenza può garantire ai criminal hacker di ottenere una maggiore “precisione” nel colpire le vittime a target con azioni di cyberspionaggio.
Indice degli argomenti
Topinambour: le caratteristiche del malware
Dall’analisi effettuata su alcuni campioni del malware isolati dai ricercatori di sicurezza dei Kaspersky Lab si è scoperto che all’interno del dropper di Topinambour si nasconde lo stesso codice malevolo scritto in Javascript già utilizzato per la diffusione del malware KopiLuwak.
Rispetto al suo predecessore, inoltre, Topinambour ha anche un modulo con funzionalità di trojan fortemente offuscato utile ad eseguire istruzioni PowerShell.
Un’altra particolarità di Topinambur è che tra i server di comando e controllo (C&C) ci sono anche diversi siti Web WordPress legittimi ma compromessi con alcuni script PHP creati ad hoc dai criminal hacker. Un’altra tecnica utile a far perdere le tracce del malware.
Le tecniche di diffusione di Topinambour
Come dicevamo, per diffondere Topinambour i criminal hacker sfruttano alcuni software legittimi compromessi con il dropper del malware. Tra questi, i ricercatori Kaspersky hanno individuato due tool utili per aggirare la censura e i filtri su Internet, Softether VPN 4.12 e psiphon3, e alcuni “activator” molto diffusi sui forum online in quanto consentono di sbloccare le copie della suite Microsoft Office senza dover acquistare una licenza originale.
Il dropper contiene quindi una minuscola shell .NET integrata che rimane in attesa dei comandi PowerShell da parte dei criminal hacker. Così facendo, e sfruttando anche alcune condivisioni SMB su server virtuali privati (VPS) localizzati in Sud Africa, i criminali che gestiscono la campagna malevola di Topinambour riescono a diffondere tutti i moduli del malware utilizzando due semplici istruzioni della shell di Windows: net use e copy.
Lo scopo di tutta questa infrastruttura e degli script in Javascript, .NET e PowerShell integrati in Topinambour è quello di non lasciare tracce sull’hard disk del computer target grazie ad una catena di moduli “fileless” composta da un semplice runner e da alcuni valori del registro di sistema di Windows che consentono di configurare e gestire uno strumento di amministrazione remota criptato.
Questo strumento permette di completare tutte le operazioni tipiche di un trojan: caricare, scaricare ed eseguire file sul computer della vittima. Inoltre, consente ai criminal hacker di intercettare eventuali sistemi di accesso biometrici basati sulle impronte digitali e catturare screenshot dello schermo.
I consigli per difendersi dal malware
La continua evoluzione dell’arsenale malevolo del gruppo APT Turla ci ricorda come sia fondamentale essere costantemente informati sull’intelligence delle minacce e sugli ultimi software di sicurezza in grado di proteggere da strumenti e tecniche utilizzate di recente nelle campagne APT (Advanced Persistent Threat).
“La protezione degli endpoint e il controllo degli hash dei file dopo il download di un software di installazione potrebbero rivelarsi utili nella difesa da minacce come Topinambour”, ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky.
Per ridurre ulteriormente le possibilità di diventare vittima di sofisticate operazioni di spionaggio informatico, inoltre, è utile seguire questi consigli:
- implementare programmi di formazione sulla sicurezza per i dipendenti, che possano aiutare a riconoscere e ad evitare applicazioni o file potenzialmente dannosi. I dipendenti, ad esempio, non dovrebbero mai scaricare e avviare applicazioni o programmi che provengono da fonti non attendibili o sconosciute;
- per il rilevamento, le indagini e la tempestiva risoluzione di eventuali incidenti a livello degli endpoint, è utile adottare soluzioni di Endpoint Detection and Response (EDR);
- oltre a scegliere una protezione essenziale a livello degli endpoint, è importante anche implementare una soluzione di sicurezza “corporate-grade” che rilevi tempestivamente le minacce avanzate a livello di rete;
- infine, è importante mettere a disposizione del proprio team SOC le informazioni più recenti a livello di Threat Intelligence, in modo che la squadra sia sempre aggiornata sugli strumenti, le tecniche e le tattiche, nuove ed emergenti, utilizzate dai principali autori di cyber minacce.
