Jakarta, Cyberthreat.id – Peneliti Kaspersky menemukan bahwa kelompok peretas (hacker) kejam, Turla, telah memperbarui senjata sibernya. Mereka membungkus malware terkenalnya JavaScript KopiLuwak dalam penetes baru yang disebut “Topinambour”.

Selain itu, peretas juga menciptakan dua versi senjata serupa dalam bahasa lain dan mendistribusikan malware melalui paket instalasi yang terinfeksi untuk perangkat lunak anti sensor internet.

“Topinambour terlihat dalam operasi melawan entitas pemerintah pada awal 2019,” tulis Kaspersky dalam siaran persnya, Rabu (17 Juli 2019).

Turla adalah penyerang siber berbahasa Rusia yang terkenal dalam cyberespionage terhadap pemerintah dan target yang berhubungan dengan diplomatik.

Turla memiliki reputasi inovatif dan malware KopiLuwak sebagai ciri khasnya, yang pertama kali diamati pada akhir 2016.

“Topinambour (dinamai sesuai dengan sayuran yang juga dikenal sebagai artichoke Yerusalem) adalah file .NET baru,” tulis Kaspersky.

“File itu sedang digunakan oleh Turla untuk mendistribusikan dan menjatuhkan JavaScript KopiLuwak-nya melalui paket instalasi yang terinfeksi untuk program perangkat lunak yang sah seperti VPN yang menghindari sensor internet,” Kaspersky menambahkan

Pada 2019, peneliti Kaspersky menemukan alat dan teknik baru yang diperkenalkan oleh mereka yang lebih gesit dan  makin sulit deteksi. Misalnya, infrastruktur perintah dan kontrol yang memiliki IP yang tampak seperti alamat LAN biasa.

Lebih jauh, malware ini hampir sepenuhnya “fileless”. Tahap akhir infeksi dimulai ketika Trojan sudah terenkripsi untuk administrasi jarak jauh, kemudian tertanam ke dalam registri komputer untuk diakses malware ketika sudah siap.

Analog KopiLuwak

Ada dua analog KopiLuwak, yaitu .NET RocketMan Trojan dan PowerShell MiamiBeach Trojan yang dirancang untuk cyberespionage.

“Versi ini dikerahkan untuk target dengan perangkat lunak keamanan yang diinstal dan mampu mendeteksi KopiLuwak.,” tulis Kaspersky.

Setelah instalasi berhasil, kedua versi tersebut dapat:

• Melakukan sidik jari target, untuk memahami jenis komputer apa yang telah terinfeksi
• Mengumpulkan informasi tentang adaptor sistem dan jaringan
• Mencuri file
• Mengunduh dan menjalankan malware tambahan
• MiamiBeach juga dapat mengambil screenshot

Kurt Baumgartner, peneliti keamanan utama di Kaspersky, mengatakna, tahun ini Turla muncul dengan toolset yang diperbarui dengan sejumlah fitur baru yang mungkin untuk meminimalkan deteksi oleh solusi keamanan dan peneliti.

“Ini termasuk mengurangi jejak digital malware, dan penciptaan dua versi yang berbeda, tapi serupa dari malware KopiLuwak yang terkenal,” kata dia.

Untuk mengurangi risiko menjadi korban operasi spionase dunia siber yang canggih, Kaspersky merekomendasikan untuk mengambil langkah-langkah berikut:

• Melakukan pelatihan kesadaran keamanan untuk staf yang dapat memaparkan cara mengenali dan menghindari aplikasi atau file yang berpotensi berbahaya. Misalnya, karyawan tidak boleh mengunduh dan meluncurkan aplikasi atau program apa pun dari sumber yang tidak tepercaya atau tidak dikenal.
• Untuk deteksi level endpoint, investigasi, dan remediasi insiden dengan tepat waktu, implementasikan solusi EDR seperti Kaspersky Endpoint Detection and Response.
• Selain mengadopsi perlindungan titik akhir yang penting, terapkan solusi keamanan tingkat korporat yang mendeteksi ancaman lanjutan pada tingkat jaringan di tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
• Berikan akses menuju Threat Intelligence terbaru kepada tim SOC Anda, untuk tetap mendapatkan informasi terbaru tentang alat, teknik, dan taktik terbaru yang digunakan oleh para aktor ancaman.