ArenaLTE.com - Peneliti Kaspersky telah menemukan bahwa aktor ancaman siber berbahasa Rusia, Turla telah memperbaharui toolset-nya, dengan cara membungkus malware terkenalnya JavaScript KopiLuwak dalam penetes baru yang disebut “Topinambour”.

Turla menciptakan dua versi serupa dalam bahasa lain, dan mendistribusikan malware melalui paket instalasi yang terinfeksi untuk perangkat lunak anti sensor internet.

Turla adalah aktor ancaman siber berbahasa Rusia yang terkenal dengan profil tinggi dan minatnya dalam cyberespionage terhadap pemerintah dan target yang berhubungan dengan diplomatik.

Turla memiliki reputasi inovatif dan malware KopiLuwak sebagai ciri khasnya, yang pertama kali diamati pada akhir 2016. Pada 2019, peneliti Kaspersky menemukan alat dan teknik baru yang diperkenalkan oleh aktor ancaman tersebut dengan meningkatnya kegesitan dan meminimalisir deteksi.

Topinambour (dinamai sesuai dengan sayuran yang juga dikenal sebagai artichoke Yerusalem) adalah file .NET baru yang sedang digunakan oleh Turla untuk mendistribusikan dan menjatuhkan JavaScript KopiLuwak-nya melalui paket instalasi yang terinfeksi untuk program perangkat lunak yang sah seperti VPN yang menghindari sensor internet.

KopiLuwak dirancang untuk cyberespionage dan proses infeksi terbaru Turla mencakup teknik yang membantu malware untuk menghindari deteksi. Misalnya, infrastruktur perintah dan kontrol yang memiliki IP yang tampak seperti alamat LAN biasa.

Lebih jauh, malware ini hampir sepenuhnya “fileless”. Tahap akhir infeksi dimulai ketika Trojan sudah terenkripsi untuk administrasi jarak jauh, kemudian tertanam ke dalam registri komputer untuk diakses malware ketika sudah siap.



Dua analog KopiLuwak: .NET RocketMan Trojan dan PowerShell MiamiBeach Trojan juga dirancang untuk cyberespionage.

Para peneliti percaya bahwa versi ini dikerahkan untuk target dengan perangkat lunak keamanan yang diinstal dan mampu mendeteksi KopiLuwak. Setelah instalasi berhasil, ketiga versi dapat : Untuk mengurangi risiko menjadi korban operasi spionase dunia siber yang canggih, Kaspersky merekomendasikan untuk mengambil langkah-langkah berikut: