Grupo Turla renova o seu ataque com malware mais sofisticado

Os investigadores da Kaspersky descobriram que o agente de ameaças do grupo Turla renovou recentemente o seu conjunto de ferramentas de ataque: o seu famoso malware JavaScript KopiLuwak inclui agora um novo dropper denominado “Topinambour”, que cria duas versões similares em outros idiomas para distribuir malware, através de ficheiros de instalação infetados com software destinado a evitar a censura da Internet.

 O “Topinambour” foi descoberto numa operação contra entidades governamentais no início de 2019.

O grupo Turla é um grupo de APT de alto nível que comunica em linguagem russa e que apresenta um forte interesse em ciberespionagem, possuindo objetivos relacionados com o Governo e diplomacia.

Conhecido pelo seu caráter inovador e pelo seu malware KopiLuwak, este grupo foi identificado pela primeira vez no final de 2016.

Em 2019, os investigadores da Kaspersky descobriram novas ferramentas e técnicas mais furtivas – introduzidas pelo agente de ameaças – que ajudam a minimizar a sua deteção.

O “Topinambour” é um novo arquivo.NET utilizado pelo grupo para distribuir e libertar o malware JavaScript KopiLuwak, através de ficheiros de instalação infetados para programas de software legítimos, tais como clientes VPNs, evitando a censura da Internet.

“Este ano, o Turla voltou a aparecer com um conjunto de ferramentas renovado, onde introduziu uma variedade de novas capacidades que podem, possivelmente, minimizar a sua deteção por parte dos investigadores, como também das soluções de segurança. Isto inclui a redução da pegada digital do malware e a criação de duas versões diferentes, mas semelhantes, do conhecido malware KopiLuwak. O abuso dos ficheiros de instalação para software VPN, que podem iludir a censura na Internet, sugere que os hackers já têm os seus objetivos de ciberespionagem bem definidos com o uso destas ferramentas. A evolução contínua do conjunto de armas do grupo Turla recorda-nos da necessidade crescente de um software de segurança e inteligência de ameaças que possa garantir proteção contra as mais recentes ferramentas e técnicas utilizadas por APTs. Por exemplo, a proteção de endpoints e a verificação de segurança de arquivos após o download de um software de instalação ajudaria a proteger contras ameaças como o Topinambour”, refere Kurt Baumgartner, investigador principal de segurança da Kaspersky.