Grupo Turla renova o seu ataque com malware mais sofisticado

 O “Topinambour” foi descoberto numa operação contra entidades governamentais no início de 2019.

O grupo Turla é um grupo de APT de alto nível que comunica em linguagem russa e que apresenta um forte interesse em ciberespionagem, possuindo objetivos relacionados com o Governo e diplomacia.

Conhecido pelo seu caráter inovador e pelo seu malware KopiLuwak, este grupo foi identificado pela primeira vez no final de 2016.

Em 2019, os investigadores da Kaspersky descobriram novas ferramentas e técnicas mais furtivas – introduzidas pelo agente de ameaças – que ajudam a minimizar a sua deteção.

O “Topinambour” é um novo arquivo.NET utilizado pelo grupo para distribuir e libertar o malware JavaScript KopiLuwak, através de ficheiros de instalação infetados para programas de software legítimos, tais como clientes VPNs, evitando a censura da Internet.

“Este ano, o Turla voltou a aparecer com um conjunto de ferramentas renovado, onde introduziu uma variedade de novas capacidades que podem, possivelmente, minimizar a sua deteção por parte dos investigadores, como também das soluções de segurança. Isto inclui a redução da pegada digital do malware e a criação de duas versões diferentes, mas semelhantes, do conhecido malware KopiLuwak. O abuso dos ficheiros de instalação para software VPN, que podem iludir a censura na Internet, sugere que os hackers já têm os seus objetivos de ciberespionagem bem definidos com o uso destas ferramentas. A evolução contínua do conjunto de armas do grupo Turla recorda-nos da necessidade crescente de um software de segurança e inteligência de ameaças que possa garantir proteção contra as mais recentes ferramentas e técnicas utilizadas por APTs. Por exemplo, a proteção de endpoints e a verificação de segurança de arquivos após o download de um software de instalação ajudaria a proteger contras ameaças como o Topinambour”, refere Kurt Baumgartner, investigador principal de segurança da Kaspersky.