Kode berbahaya yang disuntikkan ke dalamnya dirancang untuk mencuri file rahasia yang disimpan di partisi drive yang aman, sekaligus bertindak sebagai worm USB dan menyebarkan infeksi ke drive USB dengan jenis yang sama.
Meskipun taktik ini mirip dengan penyusupan drive yang menggunakan perangkat lunak manajemen USB UTetris tahun lalu, yang dikaitkan oleh Kaspersky dengan TetrisPhantom, kode berbahaya yang ditanamkan pada drive dalam insiden terakhir adalah hal baru.
Analisis perangkat lunak manajemen USB yang terinfeksi Trojan yang digunakan dalam serangan ini, serta tren lain dalam alat yang digunakan oleh kelompok penjahat dunia maya dalam serangan di seluruh dunia, tersedia dalam laporan APT Kaspersky Q3 2024 terbaru.
Kaspersky mendeteksi skema serangan baru yang memanfaatkan kerangka kerja serangan P8, yang sebelumnya digunakan untuk menargetkan organisasi Vietnam. Sebagian besar infeksi terjadi di lembaga keuangan di Vietnam, dengan satu korban aktif di industri manufaktur.
Awaken Likho adalah kampanye APT, yang aktif setidaknya sejak Juli 2021, yang terutama menargetkan organisasi pemerintahan dan kontraktor. Hingga saat ini, Kaspersky telah mendeteksi lebih dari 120 target antara lain di Rusia, India, Tiongkok, Vietnam, Taiwan, Turki, Slowakia, Filipina, Australia, Swiss, dan Republik Ceko.
Sementara sebelumnya penyerang mengandalkan penggunaan alat administrasi jarak jauh yang sah UltraVNC, dalam kampanye yang terungkap pada Juni 2024 (masih berlangsung), penyerang mengubah muatan akhir dari UltraVNC ke MeshAgent (alat administrasi jarak jauh lainnya; alat ini menggunakan server manajemen jarak jauh sumber terbuka).
Backdoor Scieron, alat yang umum digunakan dalam kampanye spionase siber oleh kelompok Scarab, terdeteksi dalam kampanye baru yang menargetkan entitas pemerintahan di Afrika dan penyedia telekomunikasi di Asia Tengah.
MuddyWater adalah pelaku APT yang muncul pada tahun 2017 dan secara tradisional menargetkan negara-negara di Timur Tengah, Eropa, dan AS. Baru-baru ini Kaspersky mengungkap implan berbasis VBS/DLL yang digunakan dalam intrusi oleh kelompok APT MuddyWater, yang masih aktif hingga saat ini. Implan tersebut ditemukan di beberapa entitas pemerintahan dan telekomunikasi di Mesir, Kazakhstan, Kuwait, Maroko, Oman, Suriah, dan UEA.
Tropic Trooper (alias KeyBoy dan Pirate Panda) adalah kelompok APT yang telah beroperasi sejak 2011. Target kelompok tersebut secara tradisional mencakup entitas pemerintahan, serta industri layanan kesehatan, transportasi, dan teknologi maju yang berlokasi di Taiwan, Filipina, dan Hong Kong.
Analisis terbaru Kaspersky mengungkapkan bahwa pada tahun 2024, kelompok tersebut melakukan serangan terhadap entitas pemerintahan di Mesir. Komponen serangan terdeteksi yang diduga digunakan oleh aktor berbahasa Mandarin.
Pada tahun 2021, Kaspersky mendeteksi sebuah kampanye bernama ExCone yang menargetkan entitas pemerintahan di Rusia dengan memanfaatkan kerentanan pada pemutar media VLC. Kemudian, korban juga ditemukan di Eropa, Asia Tengah, dan Asia Tenggara. Pada tahun 2022, email spear-phishing mulai digunakan sebagai vektor infeksi, dan versi terbaru Trojan Pangolin pun disebarkan.
Pada pertengahan Juli 2024, pelaku beralih ke penyematan pemuat JavaScript sebagai vektor infeksi awal dan menyerang lembaga pendidikan di Rusia.
Pada bulan Juni, Kaspersky mengidentifikasi sebuah kampanye aktif bernama PassiveNeuron yang menargetkan entitas pemerintahan di Amerika Latin dan Asia Timur dengan menggunakan malware yang sebelumnya tidak dikenal. Server-server tersebut disusupi sebelum produk keamanan dipasang, dan metode infeksinya masih belum diketahui.
Implan yang digunakan dalam operasi ini tidak memiliki kesamaan kode dengan malware yang dikenal, sehingga atribusi ke pelaku ancaman yang dikenal tidak memungkinkan saat ini. Kampanye tersebut menunjukkan tingkat kecanggihan yang sangat tinggi.
“Sepanjang tahun 2024, ada 3 miliar ancaman lokal yang terdeteksi dan diblokir oleh Kaspersky secara global. Peretasan perangkat lunak pada drive USB yang aman, memang hal yang tidak biasa. Namun hal itu menggarisbawahi fakta bahwa ruang digital dari perangkat yang bisa dilepas (removable media) yang dilindungi dapat diretas oleh skema yang canggih."
"Penjahat dunia maya terus memperbarui perangkat dan memperluas cakupan aktivitas dan target mereka, baik dalam hal lingkup yang ditargetkan, maupun secara geografis. Kami juga melihat lebih banyak alat sumber terbuka yang digunakan oleh pelaku ancaman APT,” pungkas David Emm, kepala peneliti keamanan di Kaspersky.
Cek Berita dan Artikel yang lain di
Google News
