Teknogav.com – Serangan SalmonSlalom memanfaatkan layanan cloud resmi untuk mengelola malware dan menggunakan skema pengiriman malware dengan beberapa tahap yang rumit. Kampanye yang ditemukan Kaspersky ICS CERT ini menghindari deteksi dengan memakai perangkat lunak resmi juga. Modus tersebut memungkinkan penyebaran malware melalui jaringan organisasi korban, memasang alat administrasi jarak jauh, memanipulasi perangkat, mencuri dan menghapus informasi rahasia. Sasaran kampanye ini adalah lembaga pemerintah dan organisasi industry di beberapa negara dan wilayah di Asia Pasifik.

Baca juga: Ransomware yang Ditargetkan Makin Menggila, Kaspersky XDR Siap Melawan

Negara tempat kampanye tersebut ditemukan mencakup Filipina, Hong Kong, Jepang, Korea Selatan, Malaysia, Singapura, Thailand, Taiwan, Tiongkok, dan Vietnam. Kampanye ini menggunakan arsip zip dengan malware yang disamarkan sebagai dokumen terkait pajak. Dokumen dikirim kepada korban dalam kampanye phishing melalui email dan aplikasi perpesanan (Telegram dan WeChat). Sistem dipasangi backdoor FatalRAT yang merupakan hasil prosedur instalasi malware yang melalui beberapa tahap yang rumit.

Alur kerja serangan SalmonSlalom ini mirip dengan kampanye sebelumnya yang dioperasikan menggunakan Trojan akses jarak jauh (RAT) sumber terbuka. Beberapa RAT ini mencakup Gh0st RAT, SimayRAT, Zegost, dan FatalRAT. Taktik, teknik dan prosedur dalam kampanye tersebut terlihat mengalami perubahan penting yang disesuaikan untuk sasaran berbahasa Mandarin. Jaringan pengiriman konten cloud (CDN) myqcloud milik Tiongkok yang resmi dan layanan Youdao Cloud Notes dimanfaatkan untuk melancarkan serangan. Berbagai metode digunakan para penyerang untuk menghindari deteksi dan pemblokiran, yaitu sebagai berikut:

• mengubah server kontrol dan muatan berbahaya secara dinamis
• menempatkan file pada sumber daya web resmi
• mengeksploitasi kerentanan dalam aplikasi resmi
• menggunakan kemampuan perangkat lunak resmi untuk meluncurkan malware 
• mengemas dan mengenkripsi file sampai lalu lintas jaringan.
  

Baca juga: Kaspersky EDR Expert Raih Peringkat Teratas ‘Strategic Leader’ dari AV-Comparatives

Penyerang menantang pertahanan siber layaknya ikan salmon yang mengarungi air terjun ketika berenang ke hulu sehingga disebut sebagai SalmonSlalom. Kendati tidak dikaitkakn dengan kelompok mana pun, kemungkinan pelaku ancaman yang dilibatkan berbahasa Mandarin. Hal ini terlihat dari penggunaan layanan dan antarmuka berbahasa Mandarin secara konsisten dan didukung bukti teknis lain.

“Kami berulang kali melihat pelaku ancaman menggunakan kombinasi metode dan teknik serangan yang relatif sederhana. Namun, mereka berhasil menjangkau sasaran bahkan dalam perimeter OT. Kampanye khusus ini berfungsi sebagai peringatan bagi berbagai organisasi industri di kawasan Asia Pasifik, mengingatkan mereka tentang pelaku ancaman yang menunjukkan kemampuan untuk mendapatkan akses jarak jauh ke sistem teknologi operasional. Menyadari adanya potensi ancaman tersebut memungkinkan organisasi-organisasi ini untuk meningkatkan langkah-langkah keamanan mereka dan secara proaktif merespons untuk melindungi aset dan data dari pelaku kejahatan siber yang semakin canggih," ucap Evgeny Goncharov, Kepala Kaspersky ICS CERT.

Baca juga: Kaspersky NEXT Padukan Kekuatan EDR dan XDR bagi Bisnis di Indonesia

Tips Aman dari Serangan Siber

Kaspersky memberikan beberapa langkah berikut ini agar senantiasa terhindar dari serangan siber:

• Aktifkan autentikasi dua faktor untuk masuk ke konsol administrasi dan antarmuka web solusi keamanan.
• Instal versi terbaru solusi keamanan yang dikelola secara terpusat di semua system. Selain itu, perbarui basis data antivirus dan modul program secara berkala.
• Periksa semua komponen solusi keamanan diaktifkan di semua sistem dan kebijakan yang aktif. Apakah komponen-komponen tersebut melarang penonaktifan perlindungan dan penghentian atau penghapusan komponen solusi tanpa memasukkan kata sandi administrator.
• Periksa apakah solusi keamanan menerima informasi ancaman terkini (misalnya, dari Kaspersky Security Network) untuk kelompok sistem yang penggunaan layanan keamanan cloudnya tidak dilarang oleh hukum atau peraturan.
• Perbarui sistem operasi dan aplikasi ke versi yang saat ini didukung oleh vendor. Instal pembaruan keamanan (patch) terbaru untuk sistem operasi dan aplikasi.
• Terapkan sistem SIEM, misalnya, Kaspersky Unified Monitoring and Analysis Platform.
• Memanfaatkan solusi EDR/XDR/MDR untuk menetapkan dasar mengenai hubungan proses intergenerasi yang paling sering diamati di lingkungan OT. Saran yang sangat direkomendasikan ini berasal dari pengamatan Kaspersky bahwa fungsi resmi dari biner resmi dieksploitasi untuk menjalankan muatan bertahap berikutnya

Demikianlah beberapa tips dari Kaspersky agar senantiasa aman dari serangan siber.