Baca juga: Ngeri! Ancaman APT Incar Rahasia Negara dan Berkas Diplomatik
Kampanye spionasi siber PassiveNeuron kembali beroperasi setelah enam bulan tidak aktif. Operasi tersebut dilakukan melalui tiga alat utama untuk mendapatkan dan mempertahankan akses ke jaringan yang menjadi sasarannya. Dua di antara tiga alat utama tersebut sebelumnya tidak dikenal. Ketiga alat tersebut adalah sebagai berikut:
- Neursite yang merupakan suatu backdoor modular
- NeuralExecutor yang merupakan suatu implan berbasis .NET
- Cobalt Strike yang merupakan suatu kerangka kerja pengujian penetrasi yang sering digunakan pelaku ancaman.
Baca juga: Waspada, Spyware Hackingteam Kembali Beredar Setelah Bertahun-tahun Tidak Terlihat
Backdoor Neursite dapat mengumpulkan informasi sistem, mengelola proses yang berjalan, dan merutekan lalu lintas jaringan melalui host yang disusupi. Modus tersebut memungkinkan pergerakan lateral dalam jaringan. Sampel Neursite ditemukan berkomunikasi dengan server perintah dan kontrol eksternal maupun sistem internal yang disusupi.
Sementara itu, NeuralExecutor dirancang untuk mengirimkan muatan tambahan. Implan ini mendukung berbagai metode komunikasi dan dapat memuat serta mengeksekusi rakitan .NET yang diterima dari server perintah dan kontrolnya.
“PassiveNeuron menonjol karena fokusnya pada server yang disusupi, yang seringkali menjadi tulang punggung jaringan organisasi. Server yang terekspos ke internet merupakan sasaran yang sangat menarik bagi kelompok ancaman persisten tingkat lanjut (APT), karena satu host yang disusupi dapat menyediakan akses ke sistem kritikal. Oleh karena itu, penting untuk meminimalkan permukaan serangan yang terkait dengannya dan terus memantau aplikasi server untuk mendeteksi dan menghentikan potensi infeksi,” ucap Georgy Kucherin, Peneliti Keamanan GReAT Kaspersky.
Dalam sampel yang diamati oleh pakar GReAT Kaspersky, nama fungsi diganti dengan string yang berisi karakter Cyrillic. String dengan karakter tersebut sepertinya sengaja diperkenalkan para penyarang. Artefak semacam ini membutuhkan evaluasi yang cermat selama atribusi. Bisa saja penjahat siber merancang artefak tersebut sebagai sinyal palsu untuk menyesatkan para analis. Kaspersky tidak terlalu yakin kampanye tersebut berkaitan dengan aktor ancaman berbahasa Mandarin berdasarkan taktik, teknik dan prosedur yang diamati. Pada tahun 2024, peneliti Kaspersky mendeteksi kegiatan PassiveNeuron dan menggambarkan kampanye tersebut menampilkan tingkat kecanggihan yang tinggi.
Baca juga: Paparkan Lanskap Ancaman Siber di Indonesia, Kaspersky Tekankan Pentingnya Pertahanan Siber
Tips Mengantisipasi Serangan Tertarget
Kaspersky memberikan rekomendasi penerapan langkah-langkah berikut ini agar terhindar menjadi korban serangan tertarget aktor ancaman yang dikenal dan tak dikenal.
- Berikan akses ke intelijen ancaman (TI) terkini kepada tim SOC organisasi. Salah satu titik akses tunggal yang dapat digunakan TI perusahaan adalah Kaspersky Threat Intelligence Portal. Portal ini menyajikan data dan wawasan serangan siber yang dikumpulkan Kaspersky selama lebih dari 20 tahun.
- Tingkatkan kecakapan tim keamanan siber organisasi untuk mengatasi ancaman tertarget terkini. Salah satu caranya bisa menggunakan Kaspersky online training yang dikembangkan para ahli GReAT
- Terapkan solusi EDR untuk mendeteksi, menginvestigasi dan remediasi insiden di tingkat titik akhir. Salah satu solusi yang bisa digunakan adalah Kaspersky Endpoint Detection and Response
- Terapkan solusi keamanan tingkat korporat yang mendeteksi ancaman tingkat lanjut di tingkat jaringan pada tahap awal. Salah satu solusi yang dapat digunakan adalah Kaspersky Anti Targeted Attack Platform
- Perkenalkan pelatihan kesadaran keamanan dan ajarkan kecakapan praktis pada tim organisasi, misalnya dengan Kaspersky Automated Security Awareness Platform. Upaya ini penting karena ada banyak serangan tertarget yang dimulai dengan phishing atau teknik rekayasa sosial lainnya.
Demikianlah beberapa tips dari Kaspersky agar dapat senantiasa aman dari berbagai serangan siber.
Postingan
