GlobalReview-Jakarta-Kaspersky ICS CERT menemukan sebuah kampanye yang menargetkan organisasi industri di kawasan Asia-Pasifik. Para penyerang menggunakan layanan cloud yang sah untuk mengelola malware dan menggunakan skema pengiriman malware multi-tahap yang rumit menggunakan perangkat lunak sah untuk menghindari deteksi. Akibatnya, mereka dapat menyebarkan malware melalui jaringan organisasi (perusahaan) korban, memasang alat administrasi jarak jauh, memanipulasi perangkat, mencuri dan menghapus informasi rahasia.
Baca Juga:Kinerja Summarecon Tahun 2025 Diperkirakan Diperoleh dari Pendapatan Berulang
Dalam rilis yang diterima Redaksi, Selasa, 26/2/25 Kepala Kaspersky ICS CERT, Evgeny Goncharov mengatakan kampanye tersebut menargetkan lembaga pemerintah dan organisasi industri di beberapa negara dan wilayah di kawasan Asia Pasifik, termasuk Taiwan, Malaysia, Tiongkok, Jepang, Thailand, Hong Kong, Korea Selatan, Singapura, Filipina, dan Vietnam. Arsip zip dengan malware, yang disamarkan sebagai dokumen terkait pajak, dikirimkan kepada korban dalam sebuah kampanye phishing melalui email dan messenger (WeChat dan Telegram). Sebagai hasil dari prosedur instalasi malware multi-tahap yang rumit, sebuah backdoor, FatalRAT, dipasang ke dalam sistem.
Baca Juga:Jordi Cruyff Duduki Technical Advisor Timnas Indonesia
“Meskipun ada kemiripan dengan alur kerja yang diamati dalam kampanye sebelumnya yang dioperasikan oleh aktor ancaman menggunakan Trojan akses jarak jauh (RAT) sumber terbuka seperti Gh0st RAT, SimayRAT, Zegost, dan FatalRAT, kampanye ini menunjukkan perubahan penting dalam taktik, teknik, dan prosedur yang khusus disesuaikan untuk target berbahasa Mandarin,”terang Evgeny.
Serangan tersebut dilakukan menggunakan jaringan pengiriman konten cloud (CDN) myqcloud milik Tiongkok yang sah dan layanan Youdao Cloud Notes. Para penyerang menggunakan berbagai metode untuk menghindari deteksi dan pemblokiran: mengubah server kontrol dan muatan berbahaya secara dinamis, menempatkan file pada sumber daya web yang sah, mengeksploitasi kerentanan dalam aplikasi sah, dan menggunakan kemampuan perangkat lunak sah untuk meluncurkan malware, mengemas dan mengenkripsi file hingga lalu lintas jaringan.
Baca Juga:Festival Pinisi Masuk Dalam Kalender Wisata 2025
Evgeny menyebut kampanye serangan ini sebagai SalmonSlalom: para penyerang menantang pertahanan siber seperti ikan salmon yang mengarungi air terjun saat berenang ke hulu, kehilangan kekuatan saat bermanuver di antara bebatuan tajam. Pihaknya berulang kali melihat pelaku ancaman menggunakan kombinasi metode dan teknik serangan yang relatif sederhana namun berhasil menjangkau target mereka bahkan dalam perimeter OT.
“Kampanye khusus ini berfungsi sebagai peringatan bagi berbagai organisasi industri di kawasan Asia Pasifik, mengingatkan mereka tentang pelaku ancaman yang menunjukkan kemampuan untuk mendapatkan akses jarak jauh ke sistem teknologi operasional. Menyadari adanya potensi ancaman tersebut memungkinkan organisasi-organisasi ini untuk meningkatkan langkah-langkah keamanan mereka dan secara proaktif merespons untuk melindungi aset dan data dari pelaku kejahatan siber yang semakin canggih,”kata Evgeny.
Baca Juga:Pemerintah Tanggung Stimulasi Sektor Properti Melalui PPN, Ini Penjelasannya
Evgeny juga mengatakan meskipun tidak dikaitkan dengan kelompok mana pun, penggunaan layanan dan antarmuka berbahasa Mandarin secara konsisten, dikombinasikan dengan bukti teknis lainnya, menunjukkan kemungkinan keterlibatan pelaku ancaman berbahasa Mandarin.
Terkait hal itu pihaknya kata Evgeny Goncharov menyarankan untuk mengambil langkah-langkah berikut bagi organisasi (perusahaan): Aktifkan autentikasi dua faktor untuk masuk ke konsol administrasi dan antarmuka web solusi keamanan; Instal versi terbaru solusi keamanan yang dikelola secara terpusat di semua sistem dan perbarui basis data antivirus dan modul program secara berkala; Periksa apakah semua komponen solusi keamanan diaktifkan di semua sistem dan kebijakan yang aktif melarang penonaktifan perlindungan dan penghentian atau penghapusan komponen solusi tanpa memasukkan kata sandi administrator; Periksa apakah solusi keamanan menerima informasi ancaman terkini (misalnya, dari Kaspersky Security Network) untuk kelompok sistem yang penggunaan layanan keamanan cloudnya tidak dilarang oleh hukum atau peraturan; Perbarui sistem operasi dan aplikasi ke versi yang saat ini didukung oleh vendor.
Baca Juga: Sido Muncul Raih Penghargaan Proper Emas dan Green Leadership Utama dari KLH
Instal pembaruan keamanan (patch) terbaru untuk sistem operasi dan aplikasi; Terapkan sistem SIEM, misalnya, Kaspersky Unified Monitoring and Analysis Platform; Memanfaatkan solusi EDR/XDR/MDR untuk menetapkan dasar mengenai hubungan proses intergenerasi yang paling sering diamati di lingkungan OT.
“Saran yang sangat direkomendasikan ini berasal dari pengamatan kami bahwa fungsi sah dari biner sah dieksploitasi untuk menjalankan muatan bertahap berikutnya,” tutup Evgeny. *
