Teknogav.com – Serangkaian malware yang dijuluki DuneQuixote memadukan kutipan puisi Spanyol untuk meningkatkan persistensi dan menghindari deteksi. Tujuan akhir serangkaian malware tersebut adalah untuk memata-matai di ranah siber. Kampanye berbahaya serangkaian malware ini ditemukan peneliti Kaspersky. Sasaran awal malware tersebut adalah entitas pemerintah di Timur Tengah. Setelah diselidiki lebih lanjut, lebih dari 30 sampel malware dropper digunakan secara aktif dalam kampanye ini. Sasarannya pun meluas ke Asia Pasifik, Eropa dan Amerika Utara.

Kampanye spionase siber yang menjadikan pemerintah di Timur Tengah sebagai sasaran ini sebelumnya tidak diketahui pada Februari 2024. Penyerang memata-matai sasarannya dan mengambil data sensitif secara diam-diam. Aksi tersebut dilakukan menggunakan serangkaian alat canggih yang dirancang untuk memantau dan bertahan lama. 

Baca juga: Kaspersky ICS CERT Deteksi Serangan dengan Tujuan Spionase Industri

File penginstal aplikasi Total Commander yang sudah dikompromikan menjadi kedok dropper malware. Kode program dalam dropper ini berisi kutipan puisi Spanyol, kutipan ini berbeda dari satu sampel ke sampel lain. Tujuan variasi kutipan tersebut adalah untuk mengubah signature setiap sampel, sehingga mempersulit pendeteksian yang menggunakan metodologi tradisional. Kode pemrograman berbahaya di dalam dropper tersebut dirancang untuk mengunduh muatan tambahan dalam bentuk backdoor bernama CR4T. Backdoor diprogram menggunakan bahasa C/C++ dan Golang untuk memberikan akses ke mesin korban. Komunikasi C2 dilakukan dengan varian GoLang yang menerapkan pengikatan API Telegram GoLang publik.

“Variasi malware ini menunjukkan kemampuan adaptasi dan kecerdikan para pelaku ancaman di balik kampanye tersebut. Saat ini, kami telah menemukan dua implan serupa, tetapi kami sangat mencurigai adanya implan tambahan,” ucap Sergey Lozhkin, peneliti keamanan utama di GReAT (Global Research and Analysis Team) Kaspersky.

Baca juga: ESET Ungkap Serangan Spionase Siber BackdoorDiplomacy dan Tips Mencegahnya

Korban di Timur Tengah berhasil diidentifikasi telemetri Kaspersky pada awal Februari 2024. Beberapa unggahan malware yang sama ke layanan pemindaian malware semi-publik terjadi di penghujung tahun 2023 dengan lebih dari 30 pengiriman. Titik keluar VPN lain dicurigai berasal dari Amerika Serikat, Belanda, Jepang, Kanada, Koreas Selatam dam Luksemburg.

Tips Menghindari Serangan APT

Para peneliti Kaspersky menyarankan untuk menerapkan langkah-langkah berikut ini agar dapat terhindar dari serangan yang ditargetkan penjahat siber:

• Memberi akses ke intelejen ancaman (threat intelligence) terkini kepada tim SOC perusahaan. Salah satu akses yang dapat diberikan adalah Portal Intelijen Ancaman Kaspersky. Portal ini berisi data dan wawasan serangan siber yang dikumpulkan Kaspersky lebih dari 20 tahun
• Tingkatkan keterampilan tim keamanan siber perusahaan untuk mengatasi ancaman terkini yang ditargetkan. Salah satu cara meningkatkan kecakapan adalah dengan pelatihan online Kaspersky yang dikembangkan para ahli GreAT
• Terapkan solusi EDR untuk mendeteksi tingkat titik akhir, investigasi dan remediasi insiden secara tepat waktu. Salah satu solusi EDR yang bisa digunakan adalah Kaspersky Endpoint Detection and Response
• Gunakan juga solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut di tingkat jaringan pada tahap awal. Salah satu solusi yang dapat digunakan adalah Kaspersky Anti Targeted Attack Platform
• Perkenalkan juga pelatihan kesadaran keamanan dan ajarkan keterampilan praktis kepada tim. Hal ini penting mengingat banyaknya serangan yang ditargetkan, seperti phishing atau teknik rekayasan sosial lain

Baca juga: ESET Ungkap Keganasan Gelsemium APT, Dalang Serangan pada NoxPlayer

Demikianlah beberapa tips agar senantiasa terhindar dari serangan penjahat siber, baik yang dikenal maupun tidak.