Os investigadores da Kaspersky Lab que monitorizam o grupo Turla (também conhecido como Snake ou Uroburos), o actor de ciberameaças de língua russa, descobriram que a evolução mais recente do seu malware, KopiLuwak, acede às vítimas com um código quase idêntico ao utilizado há apenas um mês pela operação Zebrocy, um subgrupo do Sofacy (também conhecido como Fancy Bear e APT28), outro antigo actor de ameaças de língua russa.
Estas descobertas estão incluídas num relatório geral sobre a última evolução e actividade de quatro focos de acção atribuídos ao Turla, e publicado no início de Outubro pela equipa da Kaspersky Lab.
O KopiLuwak foi identificado pela primeira vez em Novembro de 2016, ao distribuir documentos que continham malware e macros activados, e que descarregavam malware sob a forma de Javascript, desenvolvido para o reconhecimento do sistema e da rede.
A evolução mais recente do KopiLuwak foi detectada em meados de 2018, quando os investigadores encontraram novos alvos na Síria e no Afeganistão. Neste ataque, o Turla utilizou um novo vector de entrega de phishing com arquivos de acesso directo do Windows (.LNK).
O relatório revela também que o arquivo LNK incluía uma PowerShell para descodificar e transferir o anexo malicioso do KopiLuwak, quase idêntico ao utilizado pelo Zebrocy, activo no mês anterior.
Os investigadores detectaram também alvos coincidentes, de cariz político sensível, entre os dois actores de ameaças, dos quais fazem parte entidades governamentais de investigação e segurança e missões diplomáticas e militares, principalmente na Ásia central.
Em suma, os investigadores apresentaram mais provas para apoiar a teoria de que o Turla utilizou redes Wi-Fi para distribuir o malware Mosquito às suas vítimas, uma actividade que poderá estar a diminuir.
Foi também encontrada uma modificação adicional do antigo esquema de ciberespionagem Carbon, que tradicionalmente foi instalado de forma muito selecta em vítimas de especial interesse e, em 2019, são esperadas mais modificações do código e a distribuição selectiva deste malware.
Os alvos de 2018 dos grupos do Turla incluem o Médio Oriente e o Norte de África, assim como zonas da Europa ocidental e oriental e o sul e centro Asiático e Americano.
Via Kaspersky Lab.
