Teknogav.com – Pada pertengahan tahun 2020, Kaspersky mulai memantau grup APT baru yang dikenal sebagai GoldenJackal dan mengamati kegiatan mereka yang konsisten. Grup tersebut telah aktif sejak 2019, tetapi tidak memiliki profil publik. Hasil penyelidikan menunjukkan bahwa sasaran kelompok ini adalah entitas pemerintah dan diplomatik di Timur Tengah dan Asia Selatan.
Pengamatan terhadap kegiatan GoldenJackal ini menggambarkan kelihaian mereka dan agak tersembunyi. Fitur utama grup tersebut adalah seperangkat alat khusus untuk mengendalikan mesin para korban. Penyebaran malware dilakukan ke seluruh sistem menggunakan drive yang bisa dilepas dan menyelundupkan file tertentu. Modus ini menunjukkan bahwa tujuan utama penjahat siber ini adalah untuk memata-matai.
Hasil penyelidikan Kaspersky menunjukkan bahwa komplotan ini menggunakan vektor awal serangan berupa penginstal Skype palsu dan dokumen Word berbahaya. File penginstal Skype palsu ini berukuran sekitar 400 MB dan bisa dieksekusi. Ini merupakan dropper berisi dua sumber daya, yaitu Trojan JackalControl dan penginstal mandiri Skype for business yang resmi. Setetelah ditelusuri, alat ini digunakan pertama kali pada tahun 2020.
Baca juga: ESET Ungkap Serangan Spionase Siber BackdoorDiplomacy dan Tips Mencegahnya
Vektor infeksi lain adalah dokumen berbahaya bernama "Galeri Perwira yang telah Menerima Penghargaan Nasional dan Asing.docx". Dokumen ini disebarkan sebagai surat edaran resmi yang meminta informasi mengenai perwira yang telah diberi tanda jasa oleh pemerintah Pakistan. Konfigurasi telah dilakukan untuk memuat objek eksternal dari situs web resmi yang sudah disusupi. Ketika objek eksternal diunduh, maka file yang bisa dieksekusi diluncurkan. File tersebut berisi malware Trojan JackalControl yang merupakan trojan utama. Malware ini memungkinkan penyerang untuk mengendalikan mesin sasaran dari jarak jauh melalui serangkaian perintah yang telah ditentukan.
Halaman pertama dokumen berbahaya |
Modus ini menggunakan teknik injeksi template jarak jauh untuk mengunduh halaman HTML berbahaya yang mengeksploitasi kerentanan Follina. Kerentanan Follina diumumkan pertama kali pada 29 Mei 2022. Sementara, dokumen dimodifikasi pada 1 Juni atau dua hari setelah pengumuman dan berhasil dideteksi pertama kali pada 2 Juni 2022.
Selama bertahun-tahun komplotan tersebut menyebarkan berbagai malware ini: beberapa menyertakan kode untuk memperkuat pertahanan. Malware lainnya pun dikonfigurasi untuk berjalan tanpa menginfeksi sistem. Mesin biasanya terinfeksi oleh komponen lain, seperti skrip batch.
Alat penting kedua yang sering dipakai grup GoldenJackal adalah JackalSteal. Biasanya alat ini digunakan untuk memantau flash disk, remote shares dan semua drive logis di sistem yang ditargetkan. Malware bisa berfungsi sebagai proses standar atau sebagai layanan. Persistensi pun tak dapat dipertahankan, sehingga harus dipasang oleh komponen lain.
Baca juga: Kaspersky ICS CERT Deteksi Serangan dengan Tujuan Spionase Industri
Sejumlah alat tambahan juga dipergunakan oleh Golden Jackal. Beberapa di antaranya adalah JackalWorm, JackalPerInfo, dan JackalScreenWatcher yang menurut peneliti Kaspersky dikerahkan dalam kasus-kasus tertentu. Tujuan alat-alat tambahan ini adalah untuk mengendalikan mesin korban, mencuri kredensial, mengambil tangkapan layar dekstop dan lain-lain. Tentu saja, tujuan akhirnya adalah spionase.
“GoldenJackal adalah aktor APT yang menarik yang mencoba untuk tidak terlalu menonjol. Meski pertama kali memulai operasinya pada Juni 2019, GoldenJackal berhasil tetap tak terdeteksi radar. Berbekal seperangkat alat malware canggih, komplotan ini produktif melancarkan serangan terhadap pemerintah dan entitas diplomatik di Timur Tengah dan Asia Selatan. Karena beberapa implan malware masih dalam tahap pengembangan, penting bagi tim keamanan siber untuk mewaspadai kemungkinan serangan yang mungkin dilakukan oleh aktor terkait. Kami berharap analisis yang kami lakukan akan membantu mencegah aktivitas berbahaya GoldenJackal,” ucap Giampaolo Dedola, peneliti keamanan senior di Tim Riset dan Analisis Global (GReAT) Kaspersky.
Baca juga: Solusi Berbasis Intelijen Jadi Tips Kaspersky Tangkal APT dan Ransomware
Tips Terhindar Serangan yang Ditargetkan
Kaspersky memberikan beberapa tips berikut ini agar tidak menjadi korban serangan yang ditargetkan:
- Beri akses ke intelijen ancaman (TI) terbaru bagi tim SOC. Salah satu intelijen acanman yang bisa digunakan adalah Portal Intelijen Ancaman Kaspersky yang merupakan satu titik akses untuk TI perusahaan. Portal ini menyediakan data dan wawasan serangan siber yang dikumpulkan Kaspersky selama lebih dari 20 tahun.
- Tingkatkan tim keamanan siber untuk mengatasi ancaman tertarget terbaru dengan pelatihan online Kaspersky yang dikembangkan pakar GReAT
- Terapkan solusi EDR seperti Kaspersky Endpoint Detection and Response untuk deteksi tingkat titik akhir, investigasi, dan remediasi insiden tepat waktu,
- Terapkan juga solusi keamanan tingkat korporat yang mendeteksi ancaman tingkat lanjut pada tingkat jaringan pada tahap awal. Salah satu solusi keamanan yang bisa digunakan adalah Kaspersky Anti Targeted Attack Platform
- Lakukan pelatihan kesadaran keamanan dan ajarkan kecakapan praktis kepada tim, misalnya menggunakan Kaspersky Automated Security Awareness Platform. Hal ini penting karena banyak serangan yang ditargetkaan berawal dari phishing atau teknik rekayasa sosial lain
Demikianlah kabar terkini mengenai grup APT GoldenJackal dan tips dari Kaspersky agar senantiasa aman dari serangan yang ditargetkan.