Teknogav.com - Para pakar Kaspersky telah mengidentifikasi penggunaan versi backdoor Loki dalam serangkaian serangam terarah ke setidaknya 12 perusahaan Rusia. Versi backdoor Loki tersebut tidak diketahui sebelumnya. Kaspersky mendeteksi malware tersebut sebagai Backdoor.Win64.MLoki yamg merupakan versi agen pribadi dari open-source post-exploitation framework Mythic. Berbagai industri mengalami serangan tersebut, termasuk sektor teknologi dan industri kesehatan. 

Komputer korvan dijangkau Loki melalui emaol phishing dengan lampiran berbahaya. Infeksi terjadi ketika penerima email membuka lampiran yang akan menginstal Loki. Sistem pun disusupi dan memberi penyerang kemampuan yang ekstensif. Berbagai kemampuan yang dapat dilakukan penyerang adalah sebagai berikut:

• mengelola token akses Windows
• menyuntikkan kode ke dalam proses yang sedang berjalan
• mentransfer file antara mesin yang terinfeksi dan server perintah dan kontrol

Baca juga: Waspada, Backdoor DinodasRAT dapat Bobol Keamanan Linux dan Mengeksploitasi Sistem

"Popularitas kerangka kerja pascaeksploitasi sumber terbuka makin meningkat, dan meskipun bermanfaat untuk meningkatkan keamanan infrastruktur, kami melihat penyerang makin banyak mengadopsi dan memodifikasi kerangka kerja ini untuk menyebarkan malware," ucap Artem Ushkov, pengembang penelitian di Kaspersky.

Menurut Artem Ushkov, Loki merupakan contoh terkini dari penyerang yang menguji dan menerapkan berbagai kerangka kerja untuk tujuan berbahaya. Loki juga dimodifikasi penyerang untuk menghalangi deteksi dan atribusi.

Baca juga: ESET Ungkap Serangan Spionase Siber BackdoorDiplomacy dan Tips Mencegahnya

Agen Loki sendiri tidak mendukung penyaluran lalu lintas. Jadi penyerang menggunakan utilitas yang tersedia untuk umum seperti ngrok dan gTunnel untuk mengakses segmen jaringan pribadi. Pada beberapa kasus yang ditemukan Kaspersky, utilitas gTunnel dimodifikasi menggunakan goreflect  untuk mengeksekusi kode berbahaya di memori komputer sasaran demi menghindari deteksi.

Keterkaitan Loki dengan kelompok pelaku ancaman yang sudah ada tidak didukung cukup data. Namun, analisis Kaspersky menunjukkan bahwa penyerang mendekati setiap sasarannya secara individual dengan hati-hati alih-alih mengandalkan template email phishing standar.

Baca juga: APAC Cybersecurity Weekend 2024 Bahas Tantangan yang Ditenagai AI

Tips Memaksimalkan Keamanan Organisasi

Kaspersky memberi beberapa langkah berikut ini untuk memaksimalkan keamanan organisasi:

• Jangan mengekspos layanan desktop jarak jauh, seperti RDP, ke jaringan publik kecuali benar-benar diperlukan. Selain itu, selalu menerapkan penggunaan kata sandi yang kuat
• Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu terkini. Hal ini penting karena eksploitasi jenis perangkat lunak ini merupakan vektor infeksi ransomware yang umum. Selalu perbarui juga aplikasi di sisi klien
• Fokuskan strategi pertahanan untuk mendeteksi pergerakan lateral dan pencurian data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat siber. Lakukan pencadangan data secara rutin. Pastikan data tersebut dapat diakses dengan cepat dalam keadaan darurat. Pakai informasi Threat Intelligence terbaru untuk tetap mengetahui TTP terbaru yang digunakan oleh pelaku ancaman.
• Gunakan layanan Managed Detection and Response untuk membantu mengidentifikasi dan menghentikan serangan pada tahap awal, sebelum penyerang mencapai tujuan akhir.
• Edukasi karyawan untuk melindungi lingkungan perusahaan, misalnya dengan kursus pelatihan khusus. Kaspersky Automated Security Awareness Platform menyediakan beberapa pelatihan yang dibutuhkan tersebut.
• Gunakan solusi keamanan yang kompleks, yang menggabungkan perlindungan titik akhir dan fitur respons insiden otomatis, seperti Kaspersky NEXT.