Backdoor Loki yang Berbahaya Ditemukan, Menyebar lewat Email Phishing
loading...
A
A
A
JAKARTA - Para ahli Kaspersky telah mengidentifikasi versi baru dari backdoor Loki yang sebelumnya tidak diketahui. Malware ini telah digunakan dalam serangkaian serangan yang ditargetkan pada setidaknya 12 perusahaan Rusia di berbagai sektor, termasuk teknik dan kesehatan.
Setelah diaktifkan, penyerang dapat mengendalikan sistem yang terinfeksi, mengelola token akses Windows, menyuntikkan kode ke dalam proses yang sedang berjalan, dan mentransfer file antara mesin yang terinfeksi dan server perintah dan kontrol.
Untuk melindungi organisasi dari ancaman seperti Loki, berikut beberapa tipsnya:
- Jangan mengekspos layanan desktop jarak jauh, seperti RDP, ke jaringan publik kecuali benar-benar diperlukan, dan selalu gunakan kata sandi yang kuat.
- Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu diperbarui karena eksploitasi jenis perangkat lunak ini merupakan vektor infeksi ransomware yang umum. Selalu perbarui aplikasi sisi klien.
- Fokuskan strategi pertahanan untuk mendeteksi pergerakan lateral dan pencurian data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat dunia maya.
- Cadangkan data secara teratur. Pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat.
- Gunakan informasi Threat Intelligence terbaru untuk tetap mengetahui TTP terbaru yang digunakan olehpelakuancaman.
Apa itu Backdoor Loki?
Malware ini, yang dideteksi oleh Kaspersky sebagai Backdoor.Win64.MLoki, adalah versi agen pribadi dari kerangka kerja pasca-eksploitasi sumber terbuka Mythic. Loki menyebar melalui email phishing yang berisi lampiran berbahaya.Setelah diaktifkan, penyerang dapat mengendalikan sistem yang terinfeksi, mengelola token akses Windows, menyuntikkan kode ke dalam proses yang sedang berjalan, dan mentransfer file antara mesin yang terinfeksi dan server perintah dan kontrol.
Meningkatnya Penggunaan Kerangka Kerja Sumber Terbuka oleh Penyerang
"Meningkatnya penggunaan kerangka kerja sumber terbuka oleh penyerang mengkhawatirkan," kata Artem Ushkov, pengembang penelitian di Kaspersky. "Loki menunjukkan bagaimana alat-alat ini dimodifikasi untuk menghindari deteksi dan atribusi."Cara Kerja Loki
Agen Loki sendiri tidak mendukung tunneling lalu lintas, sehingga penyerang menggunakan utilitas yang tersedia untuk umum seperti ngrok dan gTunnel untuk menembus jaringan pribadi. Kaspersky menemukan bahwa, dalam beberapa kasus, utilitas gTunnel dimodifikasi menggunakan goreflect untuk menjalankan kode berbahaya di memori komputer target, sehingga lebih sulit dideteksi.Serangan yang Ditargetkan
Meskipun Kaspersky belum mengaitkan Loki dengan kelompok ancaman tertentu, analisis mereka menunjukkan bahwa penyerang menyesuaikan setiap email phishing untuk targetnya. Ini menunjukkan bahwa serangan ini sangat terarah dan terencana dengan baik.Untuk melindungi organisasi dari ancaman seperti Loki, berikut beberapa tipsnya:
- Jangan mengekspos layanan desktop jarak jauh, seperti RDP, ke jaringan publik kecuali benar-benar diperlukan, dan selalu gunakan kata sandi yang kuat.
- Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu diperbarui karena eksploitasi jenis perangkat lunak ini merupakan vektor infeksi ransomware yang umum. Selalu perbarui aplikasi sisi klien.
- Fokuskan strategi pertahanan untuk mendeteksi pergerakan lateral dan pencurian data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat dunia maya.
- Cadangkan data secara teratur. Pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat.
- Gunakan informasi Threat Intelligence terbaru untuk tetap mengetahui TTP terbaru yang digunakan olehpelakuancaman.
(dan)