Teknogav.com – Kaspersky menemukan keluarga malware baru ketika melakukan investigasi mendalam terhadap kegiatan malware Andariel, subkelompok Lazarus yang terkenal. Malware baru tersebut adalah Early Rat yang dimanfaatkan bersama dengan malware Dtrack dan ransomware Maui yang juga merupakan utilitas Andariel. Analisis baru telah memberikan efektivitas waktu yang dibutuhkan untuk memahami dan mendeteksi serangan di tahap awal secara proaktif.

Selama lebih dari sepuluh tahun, ancaman persisten tingkat lanjut (APT) Andariel telah beroperasi dalam grup Lazarus. APT ini juga sudah masuk radar para peneliti Kaspersky. Baru-baru ini, para peneliti Kaspersky telah menemukan kampanye Andariel dan menemukan keluarga malware yang tak berdokumen sebelumya. Mereka menemukan jurus, teknik sampai prosedur tambahan (TTP) dari keluarga malware tersebut.

Baca juga: Lazarus Curi Basis Data Pelanggan dengan MATA, Ini Tips Mencegahnya

Eksploitasi Log4j dimanfaatkan Andariel untuk memulai infeksi yang memungkinkan pengunduhan malware tambahan dari infrastruktur perintah dan kendali (command-and-control/C2). Kendati bagian awal dari malware yang diunduh tidak ditangkap, pengamatan menunjukkan bahwa terjadi pengunduhan backdoor DTrack segera setelah eksploitasi Log4j.

Ketika Kaspersky dapat mereplikasi eksekusi perintah, timbul aspek investigasi yang menarik. Jelas bahwa perintah dalam kampanye Andariel dijalankan oleh operator manusia, mungkin dengan sedikit pengalaman. Hal ini ditunjukkan oleh banyaknya kekeliruan dan kesalahan ketik yang dibuat. Misalnya kesalahan pengetikan ‘Program’ menjadi ‘Prorgam’.

Pada salah satu kasus Log4j, peneliti Kaspersky menemukan versi EarlyRat. Malware ini diunduh melalui kerentanan Log4j, dan di kasus lain ditemukan bahwa dokumen phishing akhirnya menyebarkan EarlyRat. Layaknya Trojan Akses Jarak Jauh (Remote Access Trojans/RAT) lain, EarlyRat mengumpulkan informasi sistem saat aktivasi. Kemudian EarlyRat akan mengirim informasi tersebut ke server C2 memanfaatkan template tertentu. Data informasi ini mencakup identifikasi mesin unik (ID) dan kueri) yang dienkripsi dengan kunci kriptografik yang ditentukan di ruang ID.

Baca juga: Selama Q1 2023, Makin Banyak Industri Jadi Sasaran APT
 

Contoh dokumen phising

EarlyRAT sederhana dalam hal fungsionalitas, terbatas pada eksekusi perintah. Ternyata EarlyRAT juga berbagi kesamaan tingkat tinggi dengan MagicRat, yaitu malware yang sebelumnya digunakan Lazarus. Kesamaan tersebut mencakup penggunaan kerangka kerja, yaitu QT pada MagicRat dan PureBasic pada EarlyRat, keduanya juga memiiliki fungsi yang terbatas.\

“Dalam lanskap kejahatan dunia maya yang luas, kami menjumpai banyak pemain dan grup yang beroperasi dengan komposisi yang berbeda-beda. Pada umumnya grup mengadopsi kode dari orang lain, dan bahkan afiliasi yang dapat dianggap sebagai entitas independen. Mereka berganti-ganti jenis malware yang berbeda. Subgrup dari grup APT, seperti Lazarus’ Andariel yang makin kompleks, terlibat dalam kegiatan kejahatan siber seperti menyebarkan ransomware. Dengan berfokus pada taktik, teknik, dan prosedur (TTP), seperti yang kami lakukan dengan Andariel, kami dapat secara signifikan mengurangi waktu atribusi dan mendeteksi serangan pada tahap awal,” ucap Jornt van der Wiel, peneliti keamanan senior, GReAT di Kaspersky.

Baca juga: ESET Research Ungkap Modus Operandi Lazarus Manfaatkan LinkedIn dan WhatsApp

Tips Menghindari Serangan yang Ditargetkan

Peneliti Kaspersky memberikan rekomendasi untuk menghindari menjadi korban serangan yang ditargetkan, baik oleh pelaku ancaman yang dikenal maupun tak dikenal. Berikut ini adalah langkah-langkah dalam rekomendasi tersebut:

• Beri akses ke intelijen ancaman atau threat intelligence terkini kepada tim security operations centre (SOC) perusahaan. Salah satu titik akses untuk intelejen ancaman perusahaan yang dapat digunakan adalah Portal Intelijen Ancaman Kaspersky. Portal ini menydiakan data dan wawasan serangan siber yang dikumpulkan Kaspersky selama lebih dari 20 tahun.
• Tingkatkan tim keamanan siber untuk mengatasi ancaman yang ditargetkan terkini dengan pelatihan online Kaspersky yang dikembangkan oleh pakar GreAT
• Terapkan solusi EDR untuk deteksi tingkat titik akhir, investigasi dan remediasi insiden secara tepat waktu. Salah satu solusi yang dapat digunakan adalah Kaspersky Endpoint Detection and Response
• Gunakan solusi keamanan tingkat korporat yang dapat mendeteksi ancaman tingkat lanjut pada level jaringan tahap awal. Salah satu solusi yang bisa digunakan adalah Kaspersky Anti Targeted Attack Platform
• Perkenalkan kesadaran ke amanan siber dan ajarkan kecakapan praktis pada karyawan perusahaan, bisa melalui Kaspersky Automated Security Awareness Platform. Hal ini penting dilakukan karena banyak serangan yang ditargetkan diawali dengan phishing atau teknik rekayasa sosial lainnya.

Demikianlah beberapa tips rekomendasi Kaspersky yang diterapkan agar tidak menjadi korban serangan phishing.