Suara.com - Para peneliti Kaspersky Lab memantau berbagai kelompok pelaku ancaman berbahasa Rusia, Turla (juga dikenal sebagai Snake atau Uroburos) yang memanfaatkan evolusi terkini dari malware KopiLuwak, berupa kode yang hampir identik dengan teknik yang digunakan sebelumnya pada operasi Zebrocy, merupakan bagian dari Sofacy (juga dikenal sebagai Fancy Bear dan APT28), pelaku ancaman siber berbahasa Rusia yang sudah lama ada.
Para peneliti juga menemukan target yang tumpang tindih antara dua pelaku ancaman yaitu geopolitik di Asia Tengah serta entitas pemerintahan dan militer. KopiLuwak yang namanya diambil dari jenis kopi langka, pertama kali ditemukan pada bulan November 2016.
Cara kerjanya adalah mengirimkan dokumen yang berisi malware dengan macro yang diaktifkan dan menggunakan malware Javascript baru yang disamarkan. Setelah berhasil menyusup, malware ini dirancang untuk melakukan pengintaian sistem dan
jaringan.
Evolusi terbaru dari KopiLuwak terdeteksi pada pertengahan 2018, ketika peneliti Kaspersky Lab menemukan target baru di Suriah dan Afghanistan. Turla menggunakan vektor pengiriman spear-phishing dengan Windows shortcut (.LNK) file.
Analisis menunjukkan bahwa file LNK berisi PowerShell untuk melakukan decode dan menjatuhkan muatan KopiLuwak. PowerShell ini hampir identik dengan yang digunakan dalam aktivitas Zebrocy sebulan sebelumnya.
Para peneliti juga menemukan beberapa target yang sama di antara keduanya yaitu target politik yang sensitif, termasuk entitas penelitian pemerintah dan keamanan, hingga misi
diplomatik dan urusan militer terutama di Asia Tengah.
Varian malware lainnya yang dilancarkan oleh Turla yaitu Carbon dan Mosquito berhasil ditemukan oleh para peneliti selama 2018.
Para peneliti memberikan bukti lebih lanjut untuk mendukung hipotesis bahwa Turla memanfaatkan jaringan Wi-Fi untuk mengirimkan malware Mosquito kepada target.
Peneliti Kaspersky Lab juga menemukan modifikasi lebih lanjut dari Carbon yang merupakan aksi cyberespionage. Malware ini ditanamkan di target yang terpilih dengan kepentingan tertentu,
dengan kemungkinan akan terjadi modifikasi kode dan berlanjut pada tahun 2019.
Target Turla di 2018 dengan malware ini termasuk Timur Tengah dan Afrika Utara, serta Eropa Barat dan Timur, Asia Tengah dan Selatan, dan Amerika.
“Turla adalah salah satu pelaku kejahatan siber tertua, terus bertahan dan secara berkelanjutan melakukan inovasi ancaman dan pendekatan baru. Penelitian kami khususnya terhadap kelompok ini selama 2018 menunjukkan bahwa Turla terus berkembang dan bereksperimen. Penelitian kami menunjukkan pengembangan dan penerapan kode Turla terus berlanjut, sehingga organisasi yang berpotensial dijadikan sebagai target perlu bersiap,” Kata Kurt Baumgartner, peneliti keamanan utama di tim GReAT Kaspersky Lab.
Untuk mengantisipasinya, Kaspersky Lab merekomendasikan beberapa hal berikut untuk mengurangi risiko dari
serangan tingkat lanjut yang ditargetkan. Mulai dari menggunakan solusi keamanan kelas korporasi yang mengombinasikan teknologi serangan anti-target dan intelijen ancaman, seperti Kaspersky Threat Management and Defense Solution.
Sediakan akses ke data intelijen ancaman terbaru untuk staf keamanan. Akses ini akan melengkapi mereka dengan informasi mengenai penelitian dan pencegahan serangan yang ditargetkan, seperti indicators of compromise (IOC), YARA dan
laporan ancaman tingkat lanjut lainnya.
Kemudian, pastikan proses manajemen patch kelas enterprise telah dilakukan, selalu periksa kembali semua sistem konfirgurasi dan terapkan praktik yang tepat.
Jika Anda melihat indikator awal dari serangan yang ditargetkan, pertimbangkan untuk mengelola sistem perlindungan yang akan memungkinkan Anda secara proaktif mendeteksi ancaman tingkat lanjut, mengurangi dwell time dan mengatur waktu respon terhadap insiden.
TERPOPULER
