JAKARTA (IndoTelko) - Kaspersky ICS CERT menemukan sebuah kampanye yang menargetkan organisasi industri di kawasan Asia-Pasifik. Para penyerang menggunakan layanan cloud yang sah untuk mengelola malware dan menggunakan skema pengiriman malware multi-tahap yang rumit menggunakan perangkat lunak sah untuk menghindarideteksi.
Hal ini berakibat mereka dapat menyebarkan malware melalui jaringan organisasi korban, memasang alat administrasi jarak jauh, memanipulasi perangkat, mencuri dan menghapus informasi rahasia.
Kampanye tersebut menargetkan lembaga pemerintah dan organisasi industri di beberapa negara dan wilayah di kawasan Asia Pasifik, termasuk Taiwan, Malaysia, Tiongkok, Jepang, Thailand, Hong Kong, Korea Selatan, Singapura, Filipina, dan Vietnam. Arsipzip dengan malware, yang disamarkan sebagai dokumen terkait pajak, dikirimkan kepada korban dalam sebuah kampanye phishing melalui email dan messenger (WeChat dan Telegram).
Sebagai hasil dari prosedur instalasi malware multi-tahap yang rumit, sebuah backdoor, FatalRAT, dipasang ke dalam sistem.
Meskipun ada kemiripan dengan alur kerja yang diamati dalam kampanye sebelumnya yang dioperasikan oleh aktor ancaman menggunakan Trojan akses jarak jauh (RAT) sumber terbuka sepertiGh0st RAT, SimayRAT, Zegost, dan FatalRAT, kampanye ini menunjukkan perubahan penting dalam taktik, teknik, dan prosedur yang khusus disesuaikan untuk target berbahasa Mandarin.
Serangan tersebut dilakukan menggunakan jaringan pengiriman konten cloud (CDN) myqcloud milik Tiongkok yang sah dan layanan Youdao Cloud Notes. Para penyerang menggunakan berbagai metode untuk menghindari deteksi dan pemblokiran : mengubah server kontrol dan muatan berbahaya secara dinamis, menempatkan file pada sumber daya web yang sah, mengeksploitasi kerentanan dalam aplikasi sah, dan menggunakan kemampuan perangkat lunak sah untuk meluncurkan malware, mengemas dan mengenkripsi file hingga lalu lintas jaringan.
Kaspersky menyebut kampanye serangan ini sebagai SalmonSlalom : para penyerang menantang pertahanan siber seperti ikan salmon yang mengarungi air terjun saat berenang ke hulu, kehilangan kekuatan saat bermanuver di antara bebatuan tajam.
Dijelaskan Kepala Kaspersky ICS CERT, Evgeny Goncharov, pihaknya berulang kali melihat pelaku ancaman menggunakan kombinasi metode dan teknik serangan yang relatif sederhana namun berhasil menjangkau target mereka bahkan dalam perimeter OT. Kampanye khusus ini berfungsi sebagai peringatan bagi berbagai organisasi industri di kawasan Asia Pasifik, mengingatkan mereka tentang pelaku ancaman yang menunjukkan kemampuan untuk mendapatkan akses jarak jauh ke sistem teknologi operasional.
"Menyadari adanya potensi ancaman tersebutmemungkinkan organisasi-organisasi ini untuk meningkatkanlangkah-langkah keamanan mereka dan secara proaktif meresponsuntuk melindungi aset dan data dari pelaku kejahatan siber yang semakin canggih," ujarnya.
Meskipun tidak dikaitkan dengan kelompok mana pun, penggunaan layanan dan antarmuka berbahasa Mandarin secara konsisten, dikombinasikan dengan bukti teknis lainnya, menunjukkan kemungkinan keterlibatan pelaku ancaman berbahasa Mandarin.
Kaspersky menyarankan untuk mengambil langkah-langkah sebagai berikut :
• Aktifkan autentikasi dua faktor untuk masuk ke konsol administrasi dan antarmuka web solusi keamanan.
• Instal versi terbaru solusi keamanan yang dikelola secara terpusat di semua sistem dan perbarui basis data antivirus dan modul program secara berkala.
• Periksa apakah semua komponen solusi keamanan diaktifkan di semua sistem dan kebijakan yang aktif melarang penonaktifan perlindungan dan penghentian atau penghapusan komponen solusi tanpa memasukkan kata sandi administrator.
• Periksa apakah solusi keamanan menerima informasi ancaman terkini (misalnya, dari Kaspersky Security Network) untuk kelompok sistem yang penggunaan layanan keamanan cloudnya tidak dilarang oleh hukum atau peraturan.
• Perbarui sistem operasi dan aplikasi ke versi yang saat ini didukung oleh vendor. Instal pembaruan keamanan (patch) terbaru untuk sistem operasi dan aplikasi.
• Terapkan sistem SIEM, misalnya, Kaspersky Unified Monitoring and Analysis Platform.
• Memanfaatkan solusi EDR/XDR/MDR untuk menetapkan dasar mengenai hubungan proses intergenerasi yang paling sering diamati di lingkungan OT. (mas)
