5 hours ago
1
Jakarta, VIVA – Salmon berbahaya. Yang dimaksud adalah SalmonSlalom – kampanye serangan siber yang menargetkan industri di kawasan Asia Pasifik.
Perusahaan keamanan siber Kaspersky menyebut para penyerang alias hacker menggunakan layanan cloud yang sah untuk mengelola malware dan menggunakan skema pengiriman malware multi-tahap yang rumit, juga menggunakan perangkat lunak sah untuk menghindari deteksi.
Akibatnya, mereka dapat menyebarkan malware melalui jaringan perusahaan, memasang alat administrasi jarak jauh, memanipulasi perangkat, mencuri dan menghapus informasi rahasia.
Kampanye tersebut menargetkan lembaga pemerintah dan organisasi industri di beberapa negara dan wilayah di kawasan Asia Pasifik, termasuk Taiwan, Malaysia, China, Jepang, Thailand, Hong Kong, Korea Selatan, Singapura, Filipina, dan Vietnam.
Arsip zip dengan malware, yang disamarkan sebagai dokumen terkait pajak, dikirimkan kepada korban dalam sebuah kampanye phishing melalui email dan messenger (WeChat dan Telegram).
Sebagai hasil dari prosedur instalasi malware multi-tahap yang rumit, sebuah backdoor, FatalRAT, dipasang ke dalam sistem.
Meskipun ada kemiripan dengan alur kerja yang diamati dalam kampanye sebelumnya yang dioperasikan oleh aktor ancaman menggunakan Trojan akses jarak jauh (RAT) sumber terbuka seperti Gh0st RAT, SimayRAT, Zegost dan FatalRAT, kampanye ini menunjukkan perubahan penting dalam taktik, teknik, dan prosedur yang khusus disesuaikan untuk target berbahasa Mandarin.
Serangan siber tersebut dilakukan menggunakan jaringan pengiriman konten cloud (CDN) myqcloud milik China yang sah dan layanan Youdao Cloud Notes.
Hacker menggunakan berbagai metode untuk menghindari deteksi dan pemblokiran, mengubah server kontrol dan muatan berbahaya secara dinamis, menempatkan file pada sumber daya web yang sah, mengeksploitasi kerentanan dalam aplikasi sah, dan menggunakan kemampuan perangkat lunak sah untuk meluncurkan malware, serta mengemas dan mengenkripsi file hingga lalu lintas jaringan.
Kepala Kaspersky ICS CERT, Evgeny Goncharov, menyebut kampanye serangan siber ini sebagai SalmonSlalom, di mana para hacker menantang pertahanan siber seperti ikan salmon yang mengarungi air terjun saat berenang ke hulu, kehilangan kekuatan saat bermanuver di antara bebatuan tajam.
Menurutnya, kampanye khusus ini berfungsi sebagai peringatan bagi berbagai industri di kawasan Asia Pasifik, mengingatkan para industri tentang pelaku serangan siber yang menunjukkan kemampuan untuk mendapatkan akses jarak jauh ke sistem teknologi operasional.
"Menyadari adanya potensi serangan siber SalmonSlalom ini memungkinkan industri untuk meningkatkan langkah-langkah keamanan sibernya dan secara proaktif merespons untuk melindungi aset dan data dari pelaku kejahatan siber yang semakin canggih," ungkap Evgeny.
Halaman Selanjutnya
Serangan siber tersebut dilakukan menggunakan jaringan pengiriman konten cloud (CDN) myqcloud milik China yang sah dan layanan Youdao Cloud Notes.
