JAKARTASATU.COM — Peneliti Kaspersky telah menemukan kampanye berbahaya yang sedang berlangsung yang awalnya menargetkan entitas pemerintah di Timur Tengah. Investigasi lebih lanjut menunjukkan lebih dari 30 sampel malware dropper yang secara aktif digunakan dalam kampanye ini, diduga memperluas viktimologi ke Asia Pasifik, Eropa, dan Amerika Utara.
Dijuluki DuneQuixote, rangkaian malware ini menggabungkan cuplikan yang diambil dari puisi Spanyol untuk meningkatkan persistensi dan menghindari deteksi, dengan tujuan akhir spionase dunia maya. Sebagai bagian dari pemantauan berkelanjutan, para ahli Kaspersky mengungkap kampanye spionase dunia maya yang sebelumnya tidak diketahui pada bulan Februari 2024, yang menargetkan entitas pemerintah di Timur Tengah. Penyerang secara diam-diam memata-matai target dan mengambil data sensitif menggunakan serangkaian alat canggih yang dirancang untuk memantau dan bertahan lama.
Dropper awal malware menyamar sebagai file penginstal rusak untuk alat sah bernama Total Commander. Di dalam dropper ini, tertanam string dari puisi Spanyol, dengan string yang berbeda dari satu sampel ke sampel lainnya. Variasi ini bertujuan untuk mengubah tanda tangan setiap sampel, sehingga pendeteksian dengan metodologi tradisional menjadi lebih sulit.
Tertanam di dalam dropper adalah kode berbahaya yang dirancang untuk mengunduh muatan tambahan dalam bentuk backdoor bernama CR4T. Backdoor ini, yang dikembangkan dalam C/C++ dan GoLang, bertujuan untuk memberikan akses kepada penyerang ke mesin korban. Khususnya, varian GoLang menggunakan API Telegram untuk komunikasi C2, menerapkan pengikatan API telegram Golang publik.
“Variasi malware ini menunjukkan kemampuan adaptasi dan kecerdikan para pelaku ancaman di balik kampanye ini. Saat ini, kami telah menemukan dua implan serupa, namun kami sangat mencurigai adanya implan tambahan,” komentar Sergey Lozhkin, peneliti keamanan utama di GReAT (Global Research and Analysis Team) Kaspersky.
Telemetri Kaspersky mengidentifikasi korban di Timur Tengah pada awal Februari 2024. Selain itu, beberapa unggahan malware yang sama ke layanan pemindaian malware semi-publik terjadi pada akhir tahun 2023, dengan lebih dari 30 pengiriman. Sumber lain yang dicurigai sebagai titik keluar VPN berlokasi di Korea Selatan, Luksemburg, Jepang, Kanada, Belanda, dan Amerika Serikat. Info lenngkap tentang kampanye DuneQuixote yang baru bisa dilihat di Securelist.com.
Untuk menghindari menjadi korban serangan yang ditargetkan oleh penjahat siber yang dikenal atau tidak dikenal, peneliti Kaspersky merekomendasikan penerapan langkah-langkah berikut:
- Memberikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Portal Intelijen Ancaman Kaspersky adalah satu titik akses untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
- Tingkatkan keterampilan tim keamanan siber Anda untuk mengatasi ancaman terbaru yang ditargetkan dengan pelatihan online Kaspersky yang dikembangkan oleh para ahli GReAT.
- Untuk deteksi tingkat titik akhir, investigasi, dan remediasi insiden secara tepat waktu, terapkan solusi EDR seperti Kaspersky Endpoint Detection and Response.
- Selain mengadopsi perlindungan titik akhir yang penting, terapkan solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut di tingkat jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
- Karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya, perkenalkan pelatihan kesadaran keamanan dan ajarkan keterampilan praktis kepada tim Anda – misalnya, melalui Kaspersky Automated Security Awareness Platform. |WAW-JAKSAT
