Operasi APT SideWinder Meluas dengan Alat Spionase Baru

Teknogav.com - Tim Riset dan Analisis Global Kaspersky (GReAT) berhasil mendeteksi meluasnya operasi serangan kelompok APT SideWinder ke Timur Tengah dan Afrika. SideWinder yang juga dikenal sebagai T-APT-04 atau RattleSnake merupakan kelompok APT paling produktif yang beroperasi sejak tahun 2012. Kini, perluasan serangan dilancarkan menggunakan perangkat mata-mata yang tak dikenal sebelumnya, yaitu 'StealerBot'. Kampanye terkini dari kegiatan APT tersebut menargetkan entitas-entitas penting dan infrastruktur strategis di wailayah-wilayah tersebut.

Sasaran utama APT Sidewinder selama bertahun-tahun adalah entitas-entitas militer dan pemerintahan di Pakistan, Sri Lanka, Tiongkok dan Nepal. Selain itu, serangan ini juga mengincar sektor-sektor dan negara-negara lain di Asia Selatan danAsia Tenggara. Sejumlah gelombang serangan baru berhasil diamati Kaspersky belakangan ini. Serangan tersebut meluas sampai memperngaruhi entitas-entitas penting dan infrastruktur strategis di Timur Tengah dan Afrika. Kampanye APT SideWinder secara umum tetap aktif dan dapat menjadikan entitas-entitas lain sebagai sasarannya. Perangkat 'StealerBot' yang digunakan APT SideWinder pascaeksploitasi merupakan implan modular canggih yang dirancang khusus untuk kegiatan spionase.

“StealerBot adalah alat mata-mata tersembunyi yang memungkinkan pelaku kejahatan siber untuk memata-matai sistem tanpa mudah dideteksi. Alat ini beroperasi melalui struktur modular, dengan setiap komponen dirancang untuk menjalankan fungsi tertentu. Khususnya, modul-modul ini tidak pernah muncul sebagai berkas di hard drive sistem, sehingga sulit dilacak. Sebaliknya, modul-modul ini dimuat langsung ke dalam memori. Inti dari StealerBot adalah ‘Orchestrator’, yang mengawasi seluruh operasi, berkomunikasi dengan server perintah dan kontrol para kriminal siber, dan mengoordinasikan pelaksanaan berbagai modulnya,” ucap Giampaolo Dedola, kepala peneliti keamanan di GReAT.

Berdasarkan pengamatan Kaspersky selama penyelidikan terkini, StealerBot melakukan berbagai kegiatan berbahaya. Kegiatan ini mencakup pemasangan malware tambahan, mengambil tangkapan layar, mencatat penekanan tombol, mencuri kata sandi dari browser, dan lain-lain. StealerBot ini juga menyadap kredensial RDP (Remote Desktop Protocol) dan mengekstraksi berkas.

Kegiatan kelompok APT SideWinder dilaporkan Kaspersky pertama kali pada tahun 2018. Metode infeksi utama yang digunakan pelaku adalah email spear-phishing yang berisi dokumen berbahaya. Dokumen tersebut mengeksploitasi kerentanan Office dan terkadang memanfaatkan file LNK, HTML, dan HTA yang ada di dalam arsip. Biasanya dokumen berisi informasi dari situs web publik untuk memikat korban agar membuka file dan mempercayai sebagai file yang sah. Beberapa keluarga malware yang digunakan dalam kampanye paralel juga diamati Kaspersky. Malware ini termasuk RAT yang dibuat khusus dan dimodifikasi, serta tersedia untuk umum.

Kaspersky menyarankan untuk membekali pakar keamanan TI perusahaan dengan wawasan dan detail teknis baru dari Kaspersky Threat Intelligence Portal. Wawasan lebih dalam mengenai dunia ancaman siber yang terus berkembang dan jaringan cerdas juga dipaparkan dalam Security Analyst Summit (SAS). Kaspersky menggelar SAS ke-16 di Bali selama 22-25 Oktober 2024.