Jakarta, PCplus – Tim Riset dan Analisis Global Kaspersky (GReAT) berhasil mengidentifikasi kegiatan baru kelompok Advanced Presistent Thread (APT) SideWinder. Terbaru, mereka sedang memperluas operasi serangannya ke Timur Tengah dan Afrika dengan menggunakan perangkat mata-mata baru yang disebut ‘StealerBot’. Dalam pemantauan berkelanjutan terhadap aktivitas APT, Kaspersky menemukan bahwa kampanye terbaru mereka menargetkan entitas penting dan infrastruktur strategis di wilayah-wilayah ini. Meskipun kampanye tersebut masih aktif dan dapat menargetkan korban lainnya.
Baca Juga: Malware Berteknologi Blockchain, Supaya Susah Ditangkap
SideWinder, juga dikenal sebagai T-APT-04 atau RattleSnake. Buat yang belum tahu, itu adalah salah satu kelompok APT paling produktif yang memulai operasinya pada tahun 2012. Selama bertahun-tahun, kelompok ini (terutama) menargetkan entitas militer dan pemerintah di Pakistan, Sri Lanka, Cina, dan Nepal. Tidak ketinggalan, mereka juga mengincar sektor-sektor dan negara-negara lain di Asia Selatan dan Asia Tenggara. Baru-baru ini, Kaspersky mengamati sejumlah serangan baru yang telah meluas hingga memengaruhi entitas penting dan infrastruktur strategis di Timur Tengah dan Afrika.
Menggunakan teknologi mata-mata
Selain memperluas jangkauan geografisnya, Kaspersky menemukan bahwa SideWinder menggunakan perangkat pasca-eksploitasi baru yang disebut ‘StealerBot’. Ini adalah implan modular canggih yang dirancang khusus untuk kegiatan spionase alias mata-mata. Saat ini implan tadi digunakan oleh SideWinder sebagai alat utama pasca-eksploitasi.
“Secara singkat, StealerBot adalah alat mata-mata tersembunyi yang memungkinkan pelaku kejahatan siber untuk memata-matai sistem tanpa mudah terdeteksi. Alat ini bekerja melalui struktur modular, dengan setiap komponen dirancang untuk menjalankan fungsi tertentu. Modul-modul ini tidak pernah muncul sebagai berkas di hard drive sistem, sehingga sulit dilacak. Sebaliknya, modul-modul ini dimuat langsung ke dalam memori. Inti dari StealerBot adalah ‘Orchestrator’, yang mengawasi seluruh operasi, berkomunikasi dengan server perintah dan kontrol para kriminal siber, dan mengoordinasikan pelaksanaan berbagai modulnya,” kata Giampaolo Dedola, kepala peneliti keamanan di GReAT.
Selama penyelidikan terbarunya, Kaspersky mengamati bahwa StealerBot melakukan berbagai aktivitas berbahaya. Salah satunya memasang malware tambahan, mengambil tangkapan layar, mencatat penekanan tombol, mencuri kata sandi dari browser, menyadap kredensial RDP (Remote Desktop Protocol), mengekstraksi berkas, dan banyak lagi.
Spear-phising lewat email
Kaspersky pertama kali melaporkan aktivitas kelompok tersebut pada tahun 2018. Kelompok ini diketahui mengandalkan email spear-phishing sebagai metode infeksi utamanya. Email ini berisi dokumen berbahaya yang mengeksploitasi kerentanan Office. Kadang ia juga menggunakan file LNK, HTML, dan HTA yang terdapat dalam arsip. Dokumen tersebut sering kali berisi informasi yang diperoleh dari situs web publik. Tujuannya untuk memikat korban agar membuka file tersebut dan mempercayainya sebagai file yang sah. Kaspersky juga mengamati beberapa keluarga malware yang digunakan dalam kampanye paralel. Termasuk RAT yang dibuat khusus dan dimodifikasi, yang tersedia untuk umum.
Untuk mengurangi ancaman yang terkait dengan aktivitas APT, Kaspersky merekomendasikan untuk membekali pakar keamanan informasi organisasi dengan wawasan dan detail teknis terbaru dari Kaspersky Threat Intelligence Portal. Selain itu Kaspersky juga mengadakan Security Analyst Summit (SAS) di Bali pada 22-25 Oktober untuk menyajikan wawasan yang lebih mendalam tentang dunia ancaman siber.