Jaringan Infiltrasi Stealthy Rootkit Baru dari Organisasi Profil Tinggi

  • Whatsapp
Jaringan Infiltrasi Stealthy Rootkit Baru dari Organisasi Profil Tinggi

Aktor ancaman yang tidak diketahui dengan kemampuan untuk berevolusi dan menyesuaikan perangkatnya untuk menargetkan lingkungan yang disusupi organisasi terkenal di Asia dan Afrika dengan rootkit Windows yang mengelak sejak setidaknya 2018.

Dipanggil ‘Moriya, ‘malware adalah “pintu belakang pasif yang memungkinkan penyerang untuk memeriksa semua lalu lintas masuk ke mesin yang terinfeksi, menyaring paket yang ditandai untuk malware dan menanggapinya,” kata peneliti Kaspersky Mark Lechtik dan Giampaolo Dedola di hari Kamis menyelam dalam.

Bacaan Lainnya

Perusahaan keamanan siber Rusia menyebut kampanye spionase yang sedang berlangsung ‘TunnelSnake. ‘ Berdasarkan analisis telemetri, kurang dari 10 korban di seluruh dunia telah menjadi sasaran hingga saat ini, dengan korban yang paling menonjol adalah dua entitas diplomatik besar di Asia Tenggara dan Afrika. Semua korban lainnya berada di Asia Selatan.

auditor kata sandi

Laporan pertama Moriya muncul November lalu ketika Kaspersky mengatakan menemukan implan tersembunyi di jaringan organisasi antar-pemerintah regional di Asia dan Afrika. Aktivitas berbahaya yang terkait dengan operasi tersebut dikatakan telah dilakukan sejak November 2019, dengan rootkit bertahan di jaringan korban selama beberapa bulan setelah infeksi awal.

“Alat ini digunakan untuk mengontrol server yang berhubungan dengan publik di organisasi tersebut dengan membuat saluran rahasia dengan server C2 dan meneruskan perintah shell dan keluarannya ke C2,” perusahaan kata dalam laporan tren APT untuk Q3 2020. “Kemampuan ini difasilitasi dengan menggunakan driver mode kernel Windows.”

Rootkit sangat berbahaya karena memungkinkan penyerang mendapatkan hak istimewa tinggi dalam sistem, memungkinkan mereka untuk mencegat inti operasi input / output dilakukan oleh sistem operasi yang mendasari dan perpaduan yang lebih baik dengan lanskap, sehingga menyulitkan untuk melacak jejak digital penyerang.

Microsoft, pada bagiannya, telah menerapkan beberapa perlindungan ke dalam Windows selama bertahun-tahun untuk mencegah penerapan dan eksekusi rootkit yang berhasil, yang membuat Moriya menjadi lebih penting.

Sebagian besar toolset, selain dari backdoor, terdiri dari malware eksklusif dan terkenal seperti web shell China Chopper, BOUNCER, Earthworm, dan Rayap yang sebelumnya telah digunakan oleh pelaku ancaman berbahasa Mandarin, memberikan wawasan tentang asal penyerang. Taktik, teknik, dan prosedur (TTP) yang digunakan dalam serangan juga menunjukkan bahwa entitas yang ditargetkan sesuai dengan pola viktimologi yang terkait dengan musuh berbahasa Mandarin.

Pengungkapan ini datang saat Advanced Persistent Ancaman (APT) terus meningkatkan misi pencurian data yang sangat bertarget, sementara secara bersamaan berusaha keras untuk tetap berada di bawah radar selama mungkin, membangun kembali persenjataan malware mereka, membuatnya lebih disesuaikan, kompleks , dan lebih sulit dideteksi.

“Kampanye TunnelSnake mendemonstrasikan aktivitas aktor canggih yang menginvestasikan sumber daya yang signifikan dalam merancang perangkat yang mengelak dan menyusup ke jaringan organisasi terkenal,” kata Lechtik dan Dedola. “Dengan memanfaatkan driver Windows, saluran komunikasi rahasia, dan malware berpemilik, grup di belakangnya mempertahankan tingkat penyembunyian yang cukup besar.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *