Analisis baru telah memberikan efektivitas waktu yang diperlukan untuk atribusi dan secara proaktif mendeteksi serangan di tahap awal. Andariel, ancaman persisten tingkat lanjut (APT) telah beroperasi selama lebih dari satu dekade dalam grup Lazarus, dan sudah berada di radar para peneliti Kaspersky.
Baru-baru ini, mereka telah menemukan kampanye Andariel dan menemukan keluarga malware yang sebelumnya tidak berdokumen dan menemukan taktik, teknik, hingga prosedur tambahannya (TTP).
Andariel memulai infeksi dengan memanfaatkan eksploitasi Log4j, yang memungkinkan pengunduhan malware tambahan dari infrastruktur perintah-dan-kontrol (C2). Meskipun bagian awal dari malware yang diunduh tidak ditangkap, diamati bahwa backdoor DTrack kemudian diunduh segera setelah eksploitasi Log4j.
Aspek investigasi yang menarik muncul ketika Kaspersky mampu mereplikasi proses eksekusi perintah. Menjadi jelas bahwa perintah dalam kampanye Andariel dijalankan oleh operator manusia, mungkin dengan sedikit pengalaman, sebagaimana dibuktikan dengan banyaknya kekeliruan dan kesalahan ketik yang dibuat. Misalnya, operator salah menulis “Prorgam”, bukan “Program”.
Di antara temuan tersebut, peneliti Kaspersky menemukan versi EarlyRat di salah satu kasus Log4j. Dalam beberapa kasus, EarlyRat diunduh melalui kerentanan Log4j, sementara di kasus lain ditemukan bahwa dokumen phishing akhirnya menyebarkan EarlyRat.
EarlyRat, seperti banyak Trojan Akses Jarak Jauh (Remote Access Trojans/RAT) lainnya, mengumpulkan informasi sistem saat aktivasi dan mengirimkannya ke server C2 menggunakan templat tertentu. Data yang dikirimkan mencakup pengidentifikasi mesin unik (ID) dan kueri, yang dienkripsi menggunakan kunci kriptografik yang ditentukan di ruang ID.
Dalam hal fungsionalitas, EarlyRat menunjukkan kesederhanaan, terutama terbatas pada menjalankan perintah. Menariknya, EarlyRat berbagi beberapa kesamaan tingkat tinggi dengan MagicRat – malware yang telah digunakan oleh Lazarus sebelumnya – seperti penggunaan kerangka kerja (QT untuk MagicRat dan PureBasic untuk EarlyRat) dan fungsi terbatas dari kedua RAT.
“Dalam lanskap kejahatan dunia maya yang luas, kami menjumpai banyak pemain dan grup yang beroperasi dengan komposisi yang berbeda-beda. Merupakan hal yang umum bagi grup untuk mengadopsi kode dari orang lain, dan bahkan afiliasi yang dapat dianggap sebagai entitas independen, berganti-ganti jenis malware yang berbeda. Menambah kerumitan, subgrup dari grup APT, seperti Lazarus’ Andariel, terlibat dalam aktivitas kejahatan siber seperti menyebarkan ransomware," kata Jornt van der Wiel, peneliti keamanan senior, GReAT di Kaspersky.
"Dengan berfokus pada taktik, teknik, dan prosedur (TTP), seperti yang kami lakukan dengan Andariel, kami dapat secara signifikan mengurangi waktu atribusi dan mendeteksi serangan pada tahap awal.”
Untuk menghindari menjadi korban serangan tertarget oleh aktor ancaman yang dikenal maupun tidak dikenal, peneliti Kaspersky merekomendasikan untuk menerapkan langkah-langkah berikut:
1. Beri tim SOC (security operations centre) akses ke intelijen ancaman (TI) terbaru.
2. Tingkatkan tim keamanan siber untuk mengatasi ancaman tertarget terbaru dengan pelatihan online.
3. Untuk deteksi tingkat titik akhir, investigasi, dan remediasi insiden secara tepat waktu, implementasikan solusi EDR.
4. Selain mengadopsi perlindungan titik akhir yang esensial, terapkan solusi keamanan tingkat korporat yang mendeteksi ancaman tingkat lanjut pada level jaringan tahap awal.
5. Karena banyak serangan tertarget dimulai dengan phishing atau teknik rekayasa sosial lainnya, perkenalkan pelatihan kesadaran keamanan siber dan ajarkan keterampilan praktis kepada tim.
Cek Berita dan Artikel yang lain di
Google News
