JAKARTA (IndoTelko) - Versi backdoor Loki yang sebelumnya tidak diketahui dan telah digunakan dalam serangkaian serangan terarah terhadap sedikitnya 12 perusahaan Rusia telah diidentifikasi oleh para ahli Kaspersky. Serangan tersebut terjadi di berbagai industri, termasuk teknik dan industri kesehatan. Malware tersebut, yang dideteksi Kaspersky sebagai Backdoor.Win64.MLoki, adalah versi agen pribadi dari kerangka kerja pasca eksploitasi sumber terbuka (open-source post-exploitation framework) Mythic.
Loki menjangkau komputer korban melalui email phishing dengan lampiran berbahaya yang diluncurkan sendiri oleh pengguna yang tidak menaruh curiga. Setelah terinstal, Loki memberi penyerang kemampuan ekstensif pada sistem yang disusupi, seperti mengelola token akses Windows, menyuntikkan kode ke dalam proses yang sedang berjalan, dan mentransfer file antara mesin yang terinfeksi dan server perintah dan kontrol.
Pengembang penelitian Kaspersky, Artem Ushkov mengungkapkan, popularitas kerangka kerja pasca eksploitasi sumber terbuka semakin meningkat, dan meskipun bermanfaat untuk meningkatkan keamanan infrastruktur, ia melihat penyerang semakin banyak mengadopsi dan memodifikasi kerangka kerja ini untuk menyebarkan malware.
"Loki adalah contoh terbaru dari penyerang yang menguji dan menerapkan berbagai kerangka kerja untuk tujuan berbahaya dan memodifikasinya untuk menghalangi deteksi dan atribusi," ujarnya.
Agen Loki sendiri tidak mendukung penyaluran lalu lintas, oleh karena itu penyerang menggunakan utilitas yang tersedia untuk umum seperti ngrok dan gTunnel untuk mengakses segmen jaringan pribadi. Kaspersky menemukan bahwa, dalam beberapa kasus, utilitas gTunnel dimodifikasi menggunakan goreflect untuk mengeksekusi kode berbahayanya di memori komputer yang menjadi target, sehingga terhindar dari deteksi.
Saat ini, tidak ada cukup data untuk mengaitkan Loki dengan kelompok pelaku ancaman yang sudah ada. Namun, analisis Kaspersky menunjukkan bahwa penyerang mendekati setiap target secara individual dengan hati-hati dari pada mengandalkan template email phishing standar.
Untuk memaksimalkan keamanan organisasi Anda, Kaspersky menyarankan sebagai berikut :
Jangan mengekspos layanan desktop jarak jauh, seperti RDP, kejaringan publik kecuali benar-benar diperlukan, dan selalu gunakan kata sandi yang kuat.
Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu mutakhir karena eksploitasi jenis perangkat lunak ini merupakan vektor infeksi ransomware yang umum. Selalu perbarui aplikasi sisi klien.
Fokuskan strategi pertahanan Anda untuk mendeteksi pergerakan lateral dan pencurian data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat dunia maya. Cadangkan data secara teratur. Pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat. Gunakan informasi Threat Intelligence terbaru untuk tetap mengetahui TTP terbaru yang digunakan oleh pelaku ancaman.
Gunakan layanan Managed Detection and Response untuk membantu mengidentifikasi dan menghentikan serangan pada tahap awal, sebelum penyerang mencapai tujuan akhir mereka.
Untuk melindungi lingkungan perusahaan, edukasi karyawan Anda. Kursus pelatihan khusus dapat membantu, seperti yang disediakan di Kaspersky Automated Security Awareness Platform.
Gunakan solusi keamanan yang kompleks, yang menggabungkan perlindungan titik akhir dan fitur respons insiden otomatis, seperti Kaspersky NEXT. (mas)