Malware Kopiluwak ini berupa kode yang hampir identik dengan teknik yang digunakan sebelumnya pada operasi Zebrocy, merupakan bagian dari Sofacy (juga dikenal sebagai Fancy Bear dan APT28), pelaku ancaman siber berbahasa Rusia yang sudah lama ada.
KopiLuwak yang namanya diambil dari jenis kopi langka, pertama kali ditemukan pada bulan November 2016. Cara kerjanya adalah mengirimkan dokumen yang berisi malware dengan macro yang diaktifkan dan menggunakan malware Javascript baru yang disamarkan.
Setelah berhasil menyusup, malware ini dirancang untuk melakukan pengintaian sistem dan jaringan. Evolusi terbaru dari KopiLuwak terdeteksi pada pertengahan 2018, ketika peneliti Kaspersky Lab menemukan target baru di Suriah dan Afghanistan.
Turla menggunakan vektor pengiriman spear-phishing dengan Windows shortcut (.LNK) file. Analisis menunjukkan bahwa file LNK berisi PowerShell untuk melakukan decode dan menjatuhkan muatan KopiLuwak. PowerShell ini hampir identik dengan yang digunakan dalam aktivitas Zebrocy sebulan sebelumnya.
Para peneliti juga menemukan beberapa target yang sama di antara keduanya yaitu target politik yang sensitif, termasuk entitas penelitian pemerintah dan keamanan, hingga misi diplomatik dan urusan militer terutama di Asia Tengah.
Varian malware lainnya yang dilancarkan oleh Turla yaitu Carbon dan Mosquito berhasil ditemukan oleh para peneliti selama 2018.
Para peneliti memberikan bukti lebih lanjut untuk mendukung hipotesis bahwa Turla memanfaatkan jaringan Wi-Fi untuk mengirimkan malware Mosquito kepada target. Peneliti Kaspersky Lab juga menemukan modifikasi lebih lanjut dari Carbon yang merupakan aksi cyberespionage.
Malware ini ditanamkan di target yang terpilih dengan kepentingan tertentu, dengan kemungkinan akan terjadi modifikasi kode dan berlanjut pada tahun 2019. Target Turla di 2018 dengan malware ini termasuk Timur Tengah dan Afrika Utara, serta Eropa Barat dan Timur, Asia Tengah dan Selatan, dan Amerika.
Kaspersky Lab merekomendasikan beberapa hal berikut untuk mengurangi risiko dari serangan tingkat lanjut yang ditargetkan:
- Gunakan solusi keamanan kelas korporasi yang mengombinasikan teknologi serangan anti-target dan intelijen ancaman, seperti Kaspersky Threat Management and Defense Solution. Fiturnya mampu mendeteksi dan menangkap serangan bertarget tingkat lanjut dengan menganalisis anomali jaringan, dan memberikan akses visibilitas penuh atas jaringan dan otomatisasi respon kepada tim keamanan siber.
- Sediakan akses ke data intelijen ancaman terbaru untuk staf keamanan. Akses ini akan melengkapi mereka dengan informasi mengenai penelitian dan pencegahan serangan yang ditargetkan, seperti indicators of compromise (IOC), YARA dan laporan ancaman tingkat lanjut lainnya.
- Pastikan proses manajemen patch kelas enterprise telah dilakukan, selalu periksa kembali semua sistem konfirgurasi dan terapkan praktik yang tepat.
- Jika Anda melihat indikator awal dari serangan yang ditargetkan, pertimbangkan untuk mengelola sistem perlindungan yang akan memungkinkan Anda secara proaktif mendeteksi ancaman tingkat lanjut, mengurangi dwell time dan mengatur waktu respon terhadap insiden.
