MAJALAH ICT – Jakarta. Penjahat dunia maya di balik kampanye malware DNSpionage kini telah meluncurkan jenis malware baru bernama Karkoff. Kampanye DNSpionage pertama kali terdeteksi pada akhir 2018 dan melihat peretas menargetkan entitas pemerintah dan swasta di seluruh dunia
Grup peretas di belakang DNSpionage telah terus berkembang, mengubah taktik serangan dan menambahkan alat baru ke dalam kampanyenya.
Menurut para pakar keamanan di Cisco Talos, yang mengungkap kampanye dan malware Karkoff baru, peretas di balik kampanye ini dapat dikaitkan dengan grup peretas OilRig alias APT34.
Kampanye peretas OilRig pertama kali ditemukan pada tahun 2016. Kelompok ancaman persisten canggih (APT) ini dikenal menggunakan tunneling DNS, berbagai macam malware dan phishing untuk menargetkan serangan. Awal bulan ini, sekelompok peretas misterius mulai membocorkan toolset APT34.
“Sepertinya orang dalam yang tidak puas membocorkan alat dari operator APT34, atau itu adalah entitas semacam Broker Bayangan yang tertarik mengganggu operasi untuk kelompok khusus ini,” Brandon Levene, kepala intelijen terapan di perusahaan keamanan Chronicle, mengatakan kepada Wired. . “Mereka sepertinya memiliki sesuatu untuk orang-orang ini. Mereka memberi nama dan mempermalukan, bukan hanya menjatuhkan alat.”
Untuk memastikan bahwa kampanye serangan mereka efektif, para peretas menciptakan malware Karkoff, yang merupakan alat administratif jarak jauh (RAT). Karkoff mendukung komunikasi HTTP dan DNS ke server command and control (C2). Malware juga mengandung fase pengintaian yang memungkinkan penyerang untuk menjatuhkan muatan berbahaya pada target tertentu.
Terlepas dari kemampuannya untuk mencuri informasi sistem yang ditargetkan, malware Karkoff juga mampu mendeteksi dan menghindari lingkungan sandboxing. Fitur ini memungkinkan malware berfungsi optimal saat menghindari deteksi.
Menurut peneliti Cisco Talos, aktor ancaman di balik kampanye DNSpionage tampaknya mengolok-olok komunitas infosec. Para peretas itu ditemukan mengejek para peneliti keamanan, yang menurut para ahli bukanlah perilaku yang tidak biasa. Dalam satu contoh, para peretas membuat dokumen Excel yang menyambut orang-orang yang membukanya dengan kata-kata “haha Anda adalah keledai”. Namun, para peneliti menyarankan bahwa bahasa Inggris yang rusak digunakan, mungkin menyarankan bahwa peretas mungkin bukan penutur asli bahasa Inggris.
“Perkembangan malware malware DNSpionage yang sedang berlangsung oleh aktor menunjukkan bahwa penyerang terus menemukan cara baru untuk menghindari deteksi. Keanehan yang kami sebutkan tentu saja tidak normal, tetapi muatannya jelas diperbarui untuk berupaya tetap lebih sulit dipahami.
Penemuan Karkoff juga menunjukkan aktor itu berputar dan semakin berusaha menghindari deteksi sementara tetap sangat fokus pada kawasan Timur Tengah.
No comments:
Post a Comment