A evolução mais recente do KopiLuwak foi detetada em meados de 2018, quando os investigadores encontraram novos alvos na Síria e no Afeganistão. Neste ataque, o Turla utilizou um novo vetor de entrega de phishing com arquivos de acesso direto do Windows (.LNK). O relatório revela também que o arquivo LNK incluía uma PowerShell para descodificar e transferir o anexo malicioso do KopiLuwak, quase idêntico ao utilizado pelo Zebrocy, ativo no mês anterior.

Os investigadores detetaram também alvos coincidentes, de cariz político sensível, entre os dois atores de ameaças, dos quais fazem parte entidades governamentais de investigação e segurança e missões diplomáticas e militares, principalmente Ásia central.

Outras ferramentas maliciosas utilizadas pelo Turla, detetadas durante 2018, pelos investigadores incluem os já conhecidos Carbon e Mosquito.

Em suma, os investigadores apresentaram mais provas para apoiar a teoria de que o Turla utilizou redes Wi-Fi para distribuir o malware Mosquito às suas vítimas, uma atividade que poderá estar a diminuir. Foi também encontrada uma modificação adicional do potente e antigo esquema de ciberespionagem Carbon, que tradicionalmente foi instalado de forma muito seleta em vítimas de especial interesse e, em 2019, são esperadas mais modificações do código e a distribuição seletiva deste malware. Os alvos de 2018 dos grupos do Turla incluem o Médio Oriente e o Norte de África, assim como zonas da Europa ocidental e oriental e o sul e centro Asiático e Americano.

“O Turla é um dos mais antigos, mais duradouros e mais ágeis atores de ameaças detetado, famoso por alterar constantemente o seu aspeto e de testar novas abordagens e focos. A nossa análise sobre os principais grupos de malware em 2018 revela que aquele continua a crescer e a experimentar. No entanto, é necessário salientar que, enquanto outros atores de ameaças de língua russa como o CozyDuke (APT29) e o Sofacy tinham como alvos organizações no ocidente, como um suposto ataque ao Comité Nacional do Partido Democrata em 2016, o Turla iniciava silenciosamente as suas operações no oriente, onde a sua atividade e, mais recentemente, as suas técnicas de gestão, começaram a coincidir com o subgrupo Zebrocy do Sofacy. A nossa investigação sugere que o desenvolvimento e a implementação do código Turla continua, e as organizações que acreditam tornar-se um dos seus alvos deverão estar preparadas”, disse Kurt Baumgartner, analista principal de segurança da equipa GReAT da Kaspersky Lab.

A Kaspersky Lab recomenda que, para reduzir o risco de cair vítima de ataques direcionados, as organizações devem:

• Utilizar uma solução de segurança para empresas que conjugue tecnologias anti ataques direcionados e inteligência de ameaças, como a solução Kaspersky Threat Management and Defense. Esta permite detetar e mitigar ataques direcionados avançados mediante a análise de anomalias na rede, oferecendo às equipas de segurança IT uma visibilidade total sobre a rede e uma automatização de resposta

• Dotar as equipas de segurança de acesso à mais recente inteligência de ameaças, proporcionando-lhes ferramentas úteis para a investigação e prevenção de ataques direcionados, como os indicadores de compromisso (IOC), regras YARA e relatórios personalizados de ameaças avançadas

• Garantir que os processos de administração de patches estão corretamente estabelecidos e verificar todas as configurações de sistema, além de implementar as melhores práticas

• Caso sejam detetados atempadamente sinais de um ataque direcionado, considerar a utilização de serviços de gestão de proteção que permitam detetar, de forma proactiva, as ameaças avançadas, reduzir a duração do ataque e organizar o tempo de resposta a incidentes

Mais informações sobre a atividade do Turla em 2018 estão disponíveis no blog em Securelist.