Kaspersky ungkap trend utama dalam laporan APT Q3 2024

JAKARTA (IndoTelko) - Kaspersky menemukan bahwa drive USB yang aman telah disusupi dengan kode berbahaya yang disuntikkan ke dalam perangkat lunak manajemen aksesnya. Drive ini dikembangkan oleh badan pemerintahan di Asia Tenggara untuk menyimpan dan mentransfer file secara aman antar mesin di lingkungan yang sensitif.

Kode berbahaya yang disuntikkan ke dalamnya dirancang untuk mencuri file rahasia yang disimpan di partisi drive yang aman, sekaligus bertindak sebagai worm USB dan menyebarkan infeksi ke drive USB dengan jenis yang sama.

Meskipun taktik ini mirip dengan penyusupan drive yang menggunakan perangkat lunak manajemen USB UTetris tahun lalu, yang dikaitkan oleh Kaspersky dengan TetrisPhantom, kode berbahaya yang ditanamkan pada drive dalam insiden terakhir adalah hal baru.

Analisis perangkat lunak manajemen USB yang terinfeksi Trojan yang digunakan dalam serangan ini, serta tren lain dalam alatyang digunakan oleh kelompok penjahat dunia maya dalam serangan di seluruh dunia, tersedia dalam laporan APT Kaspersky Q3 2024 terbaru.

Berikut temuan penting lainnya yang dijelaskan dalam laporan APT Q3 Kaspersky :

Asia

• Kaspersky mendeteksi skema serangan baru yang memanfaatkan kerangka kerja serangan P8, yang sebelumnya digunakan untuk menargetkan organisasi Vietnam. Sebagian besar infeksi terjadi di lembaga keuangan di Vietnam, dengan satu korban aktif di industri manufaktur.

Asia, Turki, Eropa, dan Rusia

• Awaken Likho adalah kampanye APT, yang aktif setidaknya sejak Juli 2021, yang terutama menargetkan organisasi pemerintahan dan kontraktor. Hingga saat ini, Kaspersky telah mendeteksi lebih dari 120 target antara lain di Rusia, India, Tiongkok, Vietnam, Taiwan, Turki, Slowakia, Filipina, Australia, Swiss, dan Republik Ceko. Sementara sebelumnya penyerang mengandalkan penggunaan alat administrasi jarak jauh yang sah UltraVNC, dalam kampanye yang terungkap pada Juni 2024 (masih berlangsung), penyerang mengubah muatan akhir dari UltraVNC ke Mesh Agent (alat administrasi jarak jauh lainnya; alat ini menggunakan server manajemen jarak jauh sumber terbuka).

Afrika & Asia

• Backdoor Scieron, alat yang umum digunakan dalam kampanye spionase siber oleh kelompok Scarab, terdeteksi dalam kampanye baru yang menargetkan entitas pemerintahan di Afrika dan penyedia telekomunikasi di Asia Tengah.

Timur Tengah

• MuddyWater adalah pelaku APT yang muncul pada tahun2017 dan secara tradisional menargetkan negara-negara di Timur Tengah, Eropa, dan AS. Baru-baru ini Kaspersky mengungkap implan berbasis VBS/DLL yang digunakan dalam intrusi oleh kelompok APT MuddyWater, yang masih aktif hingga saat ini. Implan tersebut ditemukan di beberapa entitas pemerintahan dan telekomunikasi di Mesir, Kazakhstan, Kuwait, Maroko, Oman, Suriah, dan UEA.

• Tropic Trooper (alias KeyBoy dan Pirate Panda) adalahkelompok APT yang telah beroperasi sejak 2011. Target kelompok tersebut secara tradisional mencakup entitas pemerintahan, serta industri layanan kesehatan, transportasi, dan teknologi maju yang berlokasi di Taiwan, Filipina, dan Hong Kong. Analisis terbaru Kaspersky mengungkapkan bahwa pada tahun 2024, kelompok tersebut melakukan serangan terhadap entitas pemerintahan di Mesir. Komponen serangan terdeteksi yang diduga digunakan oleh aktor berbahasa Mandarin.

Rusia

• Pada tahun 2021, Kaspersky mendeteksi sebuah kampanye bernama ExCone yang menargetkan entitas pemerintahan di Rusia dengan memanfaatkan kerentanan pada pemutarmedia VLC. Kemudian, korban juga ditemukan di Eropa, Asia Tengah, dan Asia Tenggara. Pada tahun 2022, email spear-phishing mulai digunakan sebagai vektor infeksi, dan versi terbaru Trojan Pangolin pun disebarkan. Pada pertengahan Juli 2024, pelaku beralih ke penyematan pemuat JavaScript sebagai vektor infeksi awal dan menyerang lembaga pendidikan di Rusia.

LATAM & Asia

• Pada bulan Juni, Kaspersky mengidentifikasi sebuah kampanye aktif bernama Passive Neuron yang menargetkan entitas pemerintahan di Amerika Latin dan Asia Timur dengan menggunakan malware yang sebelumnya tidak dikenal. Server-server tersebut disusupi sebelum produk keamanan dipasang, dan metode infeksinya masih belum diketahui. Implan yang digunakan dalam operasi ini tidak memiliki kesamaan kode dengan malware yang dikenal, sehingga atribusi ke pelaku ancaman yang dikenal tidak memungkinkan saat ini. Kampanye tersebut menunjukkan tingkat kecanggihan yang sangat tinggi.

Menurut Kepala Peneliti Keamanan di Kaspersky, David Emm, sepanjang tahun 2024, ada 3 miliar ancaman lokal yang terdeteksi dan diblokir oleh Kaspersky secara global. Peretasan perangkat lunak pada drive USB yang aman, memang hal yang tidak biasa. Namun hal itu menggarisbawahi fakta bahwa ruang digital dari perangkat yang bisa dilepas (removable media) yang dilindungi dapat diretas oleh skema yang canggih.

"Penjahat dunia maya terus memperbarui perangkat dan memperluas cakupan aktivitas dan target mereka, baik dalam hal lingkup yang ditargetkan, maupun secara geografis. Kami juga melihat lebih banyak alat sumber terbuka yang digunakan oleh pelaku ancamanAPT,” ujarnya.

Ancaman persisten tingkat lanjut (APT) adalah teknik peretasan berkelanjutan, bersifat rahasia, dan canggih yang digunakan untuk mendapatkan akses ke suatu sistem dan tetap berada di dalamnya untuk jangka waktu yang lama, dengan konsekuensi yang berpotensi merusak. APT biasanya ditujukan pada target bernilai tinggi, seperti negara-negara dan perusahaan besar, dengan tujuan akhir mencuri informasi dalam jangka waktu panjang, alih-alih sekadar "masuk" lalu pergi dengan cepat, seperti yang dilakukan banyak penyerang black hat selama serangan siber tingkat rendah.

Untuk menghindari menjadi korban serangan tertarget, para peneliti Kaspersky menyarankan individu dan organisasi untuk mengambil langkah sebagai berikut :

• Berikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat Intelligence adalah titik akses tunggal untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.

• Tingkatkan keterampilan tim keamanan siber Anda untuk mengatasi ancaman tertarget terbaru dengan pelatihan daring Kaspersky yang dikembangkan oleh para ahli GReAT.

• Terapkan solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut di tingkat jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform.

• Gunakan solusi terpusat dan otomatis seperti Kaspersky Next XDR Expert untuk memungkinkan perlindungan menyeluruh atas semua aset Anda;

• Perkenalkan pelatihan kesadaran keamanan dan ajarkan keterampilan praktis kepada tim Anda misalnya, melaluiKaspersky Automated Security Awareness Platform, karena banyak serangan tertarget dimulai dengan phishing atauteknik rekayasa sosial lainnya.

• Perbarui OS dan perangkat lunak sesegera mungkin dan lakukan secara berkala. (mas)