ledifha.com – JAKARTA – Para ahli Kaspersky telah lama mengidentifikasi versi baru dari backdoor Loki yang sebelumnya tidak ada diketahui. Malware ini telah terjadi digunakan pada rangkaian serangan yang ditargetkan pada setidaknya 12 perusahaan Rusia di area berbagai sektor, termasuk teknik lalu kesehatan.
Apa itu Backdoor Loki?
Malware ini, yang dideteksi oleh Kaspersky sebagai Backdoor.Win64.MLoki, adalah versi agen pribadi dari kerangka kerja pasca-eksploitasi sumber terbuka Mythic. Loki menyebar melalui email phishing yang berisi lampiran berbahaya.
Setelah diaktifkan, penyerang dapat mengendalikan sistem yang dimaksud terinfeksi, mengurus token akses Windows, menyuntikkan kode ke pada proses yang sedang berjalan, juga mentransfer file antara mesin yang dimaksud terinfeksi serta server perintah lalu kontrol.
Meningkatnya Pemakaian Kerangka Kerja Sumber Terbuka oleh Penyerang
“Meningkatnya penyelenggaraan kerangka kerja sumber terbuka oleh penyerang mengkhawatirkan,” kata Artem Ushkov, pengembang penelitian dalam Kaspersky. “Loki menunjukkan bagaimana alat-alat ini dimodifikasi untuk menghindari deteksi juga atribusi.”
Cara Kerja Loki
Agen Loki sendiri tak menggalang tunneling lalu lintas, sehingga penyerang menggunakan utilitas yang dimaksud tersedia untuk umum seperti ngrok kemudian gTunnel untuk menembus jaringan pribadi. Kaspersky menemukan bahwa, pada beberapa kasus, utilitas gTunnel dimodifikasi menggunakan goreflect untuk menjalankan kode berbahaya pada memori komputer target, sehingga lebih tinggi sulit dideteksi.
Serangan yang mana Ditargetkan
Meskipun Kaspersky belum mengaitkan Loki dengan kelompok ancaman tertentu, analisis mereka menunjukkan bahwa penyerang menyesuaikan setiap email phishing untuk targetnya. Hal ini menunjukkan bahwa serangan ini sangat terarah lalu terencana dengan baik.
Untuk melindungi organisasi dari ancaman seperti Loki, berikut beberapa tipsnya:
– Jangan mengekspos layanan desktop jarak jauh, seperti RDP, ke jaringan umum kecuali benar-benar diperlukan, kemudian selalu gunakan kata sandi yang digunakan kuat.
– Pastikan VPN komersial kemudian solusi perangkat lunak sisi server lainnya selalu diperbarui lantaran eksploitasi jenis perangkat lunak ini merupakan vektor infeksi ransomware yang umum. Selalu perbarui aplikasi mobile sisi klien.
– Fokuskan strategi pertahanan untuk mendeteksi pergerakan lateral juga pencurian data ke internet. Berikan perhatian khusus pada lalu lintas mengundurkan diri dari untuk mendeteksi koneksi penjahat dunia maya.
– Cadangkan data secara teratur. Pastikan Anda dapat mengaksesnya dengan cepat pada keadaan darurat.
– Gunakan informasi Threat Intelligence terbaru untuk masih mengetahui TTP terbaru yang dimaksud digunakan olehpelakuancaman.