Malware Epic Turla


Setelah sebelumnya kita mengenal malware Careto, kali ini saya akan membahas malware lain yang membuat heboh di tahun 2014 ini. Peneliti Kaspersky menamakan malware ini The Epic Turla. Malware ini termasuk jenis APT dan banyak digunakan pada operasi spionase. Keunikan malware ini adalah malware memiliki kemampuan bertransformasi atau berubah menyesuaikan dengan targetnya. Setidaknya telah ditemukan 3 tahapan transformasi malware ini yang telah ditemukan. Epic Turla merupakan tahapan awal dari malware ini.  Pada target tertentu malware Epic Turla ini bertransformasi menjadi malware lain yaitu Carbon/Cobra. Cobra memiliki backdoor yang lebih canggih dari Epic Turla. Kemudian pada tahapan terakhir malware dapat bertransformasi menggunakan rootkit dan menggunakan fungsi malicious yang lebih kompleks

Malware Epic Turla memanfaatkan 2 celah keamanan, yaitu 2 zero day exploit:

CVE-2013-3346: celah keamanan pada adobe reader yang memungkinkan penyerang menjalankan arbitraty code

CVE-2013-5065 celah keamanan pada Windows XP dan Windows Server 2003 yang memunkinkan serangan priviledge escalation

Malware menggunakan beberapa cara berikut dalam penyebarannya:

  • Mengirimkan email spearpishing yang memanfaatkan exploit Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
  • Menggunakan teknik social engineering untuk menipu user untuk menginstall malware yang dibungkus berbentuk ekstensi “.scr” atau file RAR.
  • Menggunakan teknik serangan watering hole memanfaatkan exploit JAVA (CVE-2012-1723), exploit Flash dan exploit  Internet Explorer 6,7,8
  • Menggunakan teknik serangan watering hole dikombinasikan dengan social engineering untuk membuat user menginstall Flash Player palsu yang berisi malware.

Watering hole merupakan website korban yang telah dihack dan diinjeksi untuk menyebarkan malware. Mengenai server command & server serta fungsi malicious lainnya dari malware ini akan saya lanjutkan pada tulisan berikutnya.

epic turla
epic turla

Beberapa bahan bacaan tentang malware ini:

https://securelist.com/analysis/kaspersky-security-bulletin/68052/kaspersky-security-bulletin-2014-malware-evolution/

http://securelist.com/files/2014/03/81951.png

http://securelist.com/analysis/publications/65545/the-epic-turla-operation/

http://securelist.com/blog/virus-watch/58551/agent-btz-a-source-of-inspiration/

http://blog.lifars.com/2014/12/14/highly-complex-turlauroburos-malware-variant-designed-for-linux-discovered/

http://www.kaspersky.com/about/news/virus/2014/Unraveling-mysteries-of-Turla-cyber-espionage-campaign

https://securelist.com/analysis/publications/65545/the-epic-turla-operation/

http://www.symantec.com/security_response/writeup.jsp?docid=2014-011316-1921-99

http://www.symantec.com/security_response/writeup.jsp?docid=2014-011316-1921-99&tabid=2


Silahkan tuliskan tanggapan, kritik maupun saran