
Kampanye spionase siber yang menjadikan pemerintah di Timur Tengah sebagai sasaran ini sebelumnya tidak diketahui pada Februari 2024. Penyerang memata-matai sasarannya dan mengambil data sensitif secara diam-diam. Aksi tersebut dilakukan menggunakan serangkaian alat canggih yang dirancang untuk memantau dan bertahan lama.
Baca juga: Kaspersky ICS CERT Deteksi Serangan dengan Tujuan Spionase Industri
File penginstal aplikasi Total Commander yang sudah dikompromikan menjadi kedok dropper malware. Kode program dalam dropper ini berisi kutipan puisi Spanyol, kutipan ini berbeda dari satu sampel ke sampel lain. Tujuan variasi kutipan tersebut adalah untuk mengubah signature setiap sampel, sehingga mempersulit pendeteksian yang menggunakan metodologi tradisional. Kode pemrograman berbahaya di dalam dropper tersebut dirancang untuk mengunduh muatan tambahan dalam bentuk backdoor bernama CR4T. Backdoor diprogram menggunakan bahasa C/C++ dan Golang untuk memberikan akses ke mesin korban. Komunikasi C2 dilakukan dengan varian GoLang yang menerapkan pengikatan API Telegram GoLang publik.
“Variasi malware ini menunjukkan kemampuan adaptasi dan kecerdikan para pelaku ancaman di balik kampanye tersebut. Saat ini, kami telah menemukan dua implan serupa, tetapi kami sangat mencurigai adanya implan tambahan,” ucap Sergey Lozhkin, peneliti keamanan utama di GReAT (Global Research and Analysis Team) Kaspersky.
Baca juga: ESET Ungkap Serangan Spionase Siber BackdoorDiplomacy dan Tips Mencegahnya
Korban di Timur Tengah berhasil diidentifikasi telemetri Kaspersky pada awal Februari 2024. Beberapa unggahan malware yang sama ke layanan pemindaian malware semi-publik terjadi di penghujung tahun 2023 dengan lebih dari 30 pengiriman. Titik keluar VPN lain dicurigai berasal dari Amerika Serikat, Belanda, Jepang, Kanada, Koreas Selatam dam Luksemburg.
Tips Menghindari Serangan APT
Para peneliti Kaspersky menyarankan untuk menerapkan langkah-langkah berikut ini agar dapat terhindar dari serangan yang ditargetkan penjahat siber:
- Memberi akses ke intelejen ancaman (threat intelligence) terkini kepada tim SOC perusahaan. Salah satu akses yang dapat diberikan adalah Portal Intelijen Ancaman Kaspersky. Portal ini berisi data dan wawasan serangan siber yang dikumpulkan Kaspersky lebih dari 20 tahun
- Tingkatkan keterampilan tim keamanan siber perusahaan untuk mengatasi ancaman terkini yang ditargetkan. Salah satu cara meningkatkan kecakapan adalah dengan pelatihan online Kaspersky yang dikembangkan para ahli GreAT
- Terapkan solusi EDR untuk mendeteksi tingkat titik akhir, investigasi dan remediasi insiden secara tepat waktu. Salah satu solusi EDR yang bisa digunakan adalah Kaspersky Endpoint Detection and Response
- Gunakan juga solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut di tingkat jaringan pada tahap awal. Salah satu solusi yang dapat digunakan adalah Kaspersky Anti Targeted Attack Platform
- Perkenalkan juga pelatihan kesadaran keamanan dan ajarkan keterampilan praktis kepada tim. Hal ini penting mengingat banyaknya serangan yang ditargetkan, seperti phishing atau teknik rekayasan sosial lain
Demikianlah beberapa tips agar senantiasa terhindar dari serangan penjahat siber, baik yang dikenal maupun tidak.