Hati-hati sama APT
- Istimewa
Jakarta, VIVA – Hati-hati sama APT. Yang dimaksud di sini adalah bukan lagu yang dibawakan oleh Bruno Mars dan Rose Blackpink, melainkan ancaman persisten tingkat lanjut (APT).
Ini merupakan teknik peretasan berkelanjutan, bersifat rahasia, dan canggih yang digunakan untuk mendapatkan akses ke suatu sistem dan tetap berada di dalamnya untuk jangka waktu yang lama, dengan konsekuensi yang berpotensi merusak.
APT biasanya ditujukan pada target bernilai tinggi, seperti negara-negara dan perusahaan besar, dengan tujuan akhir mencuri informasi dalam jangka waktu panjang, alih-alih sekadar "masuk" lalu pergi dengan cepat, seperti yang dilakukan banyak penyerang black hat selama serangan siber tingkat rendah.
Kaspersky menemukan bahwa drive USB yang aman telah disusupi dengan kode berbahaya yang disuntikkan ke dalam perangkat lunak manajemen aksesnya.
Drive ini dikembangkan oleh badan pemerintahan di Asia Tenggara untuk menyimpan dan mentransfer file secara aman antarmesin di lingkungan yang sensitif.
Kode berbahaya yang disuntikkan ke dalamnya dirancang untuk mencuri file rahasia yang disimpan di partisi drive yang aman, sekaligus bertindak sebagai worm USB dan menyebarkan infeksi ke drive USB dengan jenis yang sama.
Meskipun taktik ini mirip dengan penyusupan drive yang menggunakan perangkat lunak manajemen USB UTetris tahun lalu, yang dikaitkan oleh Kaspersky dengan TetrisPhantom – kode berbahaya yang ditanamkan pada drive dalam insiden terakhir adalah hal baru.
Analisis perangkat lunak manajemen USB yang terinfeksi Trojan yang digunakan dalam serangan ini, serta tren lain dalam alat yang digunakan oleh kelompok penjahat dunia maya dalam serangan di seluruh dunia, tersedia dalam laporan APT Kaspersky Q3 2024 terbaru.
Temuan penting lainnya yang dijelaskan dalam laporan APT Q3 Kaspersky meliputi:
Asia
•   Kaspersky mendeteksi skema serangan baru yang memanfaatkan kerangka kerja serangan P8, yang sebelumnya digunakan untuk menargetkan organisasi Vietnam.
Sebagian besar infeksi terjadi di lembaga keuangan di Vietnam, dengan satu korban aktif di industri manufaktur.
Asia, Turki, Eropa, dan Rusia
•   Awaken Likho adalah kampanye APT, yang aktif setidaknya sejak Juli 2021, yang terutama menargetkan organisasi pemerintahan dan kontraktor.
Hingga saat ini, Kaspersky telah mendeteksi lebih dari 120 target antara lain di Rusia, India, China, Vietnam, Taiwan, Turki, Slovakia, Filipina, Australia, Swiss, dan Republik Ceko.
Sementara sebelumnya penyerang mengandalkan penggunaan alat administrasi jarak jauh yang sah UltraVNC, dalam kampanye yang terungkap pada Juni 2024 (masih berlangsung), penyerang mengubah muatan akhir dari UltraVNC ke MeshAgent (alat administrasi jarak jauh lainnya; alat ini menggunakan server manajemen jarak jauh sumber terbuka).
Afrika dan Asia
•   Backdoor Scieron, alat yang umum digunakan dalam kampanye spionase siber oleh kelompok Scarab, terdeteksi dalam kampanye baru yang menargetkan entitas pemerintahan di Afrika dan penyedia telekomunikasi di Asia Tengah.
Timur Tengah
•   MuddyWater adalah pelaku APT yang muncul pada 2017 dan secara tradisional menargetkan negara-negara di Timur Tengah, Eropa, dan AS.
Baru-baru ini Kaspersky mengungkap implan berbasis VBS/DLL yang digunakan dalam intrusi oleh kelompok APT MuddyWater, yang masih aktif hingga saat ini.
Implan tersebut ditemukan di beberapa entitas pemerintahan dan telekomunikasi di Mesir, Kazakhstan, Kuwait, Maroko, Oman, Suriah, dan Uni Emirat Arab (UEA).
•   Tropic Trooper (alias KeyBoy dan Pirate Panda) adalah kelompok APT yang telah beroperasi sejak 2011. Target kelompok tersebut secara tradisional mencakup entitas pemerintahan, serta industri layanan kesehatan, transportasi, dan teknologi maju yang berlokasi di Taiwan, Filipina, dan Hong Kong.
Analisis terbaru Kaspersky mengungkapkan bahwa pada 2024, kelompok tersebut melakukan serangan terhadap entitas pemerintahan di Mesir. Komponen serangan terdeteksi yang diduga digunakan oleh aktor berbahasa Mandarin.
Rusia
•   Pada 2021, Kaspersky mendeteksi sebuah kampanye bernama ExCone yang menargetkan entitas pemerintahan di Rusia dengan memanfaatkan kerentanan pada pemutar media VLC. Kemudian, korban juga ditemukan di Eropa, Asia Tengah, dan Asia Tenggara.
Pada 2022, email spear-phishing mulai digunakan sebagai vektor infeksi, dan versi terbaru Trojan Pangolin pun disebarkan.
Pada pertengahan Juli 2024, pelaku beralih ke penyematan pemuat JavaScript sebagai vektor infeksi awal dan menyerang lembaga pendidikan di Rusia.
LATAM dan Asia
•   Pada Juni 2024, Kaspersky mengidentifikasi sebuah kampanye aktif bernama PassiveNeuron yang menargetkan entitas pemerintahan di Amerika Latin dan Asia Timur dengan menggunakan malware yang sebelumnya tidak dikenal.
Server-server tersebut disusupi sebelum produk keamanan dipasang, dan metode infeksinya masih belum diketahui.
Implan yang digunakan dalam operasi ini tidak memiliki kesamaan kode dengan malware yang dikenal, sehingga atribusi ke pelaku ancaman yang dikenal tidak memungkinkan saat ini. Kampanye tersebut menunjukkan tingkat kecanggihan yang sangat tinggi.
