ArenaLTE.com - Peneliti Kaspersky telah menemukan bahwa aktor ancaman siber berbahasa Rusia, Turla telah memperbaharui toolset-nya, dengan cara membungkus malware terkenalnya JavaScript KopiLuwak dalam penetes baru yang disebut “Topinambour”.

Turla menciptakan dua versi serupa dalam bahasa lain, dan mendistribusikan malware melalui paket instalasi yang terinfeksi untuk perangkat lunak anti sensor internet.

Turla adalah aktor ancaman siber berbahasa Rusia yang terkenal dengan profil tinggi dan minatnya dalam cyberespionage terhadap pemerintah dan target yang berhubungan dengan diplomatik.

Turla memiliki reputasi inovatif dan malware KopiLuwak sebagai ciri khasnya, yang pertama kali diamati pada akhir 2016. Pada 2019, peneliti Kaspersky menemukan alat dan teknik baru yang diperkenalkan oleh aktor ancaman tersebut dengan meningkatnya kegesitan dan meminimalisir deteksi.

Topinambour (dinamai sesuai dengan sayuran yang juga dikenal sebagai artichoke Yerusalem) adalah file .NET baru yang sedang digunakan oleh Turla untuk mendistribusikan dan menjatuhkan JavaScript KopiLuwak-nya melalui paket instalasi yang terinfeksi untuk program perangkat lunak yang sah seperti VPN yang menghindari sensor internet.

KopiLuwak dirancang untuk cyberespionage dan proses infeksi terbaru Turla mencakup teknik yang membantu malware untuk menghindari deteksi. Misalnya, infrastruktur perintah dan kontrol yang memiliki IP yang tampak seperti alamat LAN biasa.

Lebih jauh, malware ini hampir sepenuhnya “fileless”. Tahap akhir infeksi dimulai ketika Trojan sudah terenkripsi untuk administrasi jarak jauh, kemudian tertanam ke dalam registri komputer untuk diakses malware ketika sudah siap.



Dua analog KopiLuwak: .NET RocketMan Trojan dan PowerShell MiamiBeach Trojan juga dirancang untuk cyberespionage.

Para peneliti percaya bahwa versi ini dikerahkan untuk target dengan perangkat lunak keamanan yang diinstal dan mampu mendeteksi KopiLuwak. Setelah instalasi berhasil, ketiga versi dapat :

• Melakukan sidik jari target, untuk memahami jenis komputer apa yang telah terinfeksi
• Mengumpulkan informasi tentang adaptor sistem dan jaringan
• Mencuri file
• Mengunduh dan menjalankan malware tambahan
• MiamiBeach juga dapat mengambil screenshot

Untuk mengurangi risiko menjadi korban operasi spionase dunia siber yang canggih, Kaspersky merekomendasikan untuk mengambil langkah-langkah berikut:

• Melakukan pelatihan kesadaran keamanan untuk staf yang dapat memaparkan cara mengenali dan menghindari aplikasi atau file yang berpotensi berbahaya. Misalnya, karyawan tidak boleh mengunduh dan meluncurkan aplikasi atau program apa pun dari sumber yang tidak tepercaya atau tidak dikenal.
• Untuk deteksi level endpoint, investigasi, dan remediasi insiden dengan tepat waktu, implementasikan solusi EDR seperti Kaspersky Endpoint Detection and Response.
• Selain mengadopsi perlindungan titik akhir yang penting, terapkan solusi keamanan tingkat korporat yang mendeteksi ancaman lanjutan pada tingkat jaringan di tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
• Berikan akses menuju Threat Intelligence terbaru kepada tim SOC Anda, untuk tetap mendapatkan informasi terbaru tentang alat, teknik, dan taktik terbaru yang digunakan oleh para aktor ancaman.