Pakar keamanan siber dari Kaspersky baru-baru ini mengungkapkan temuan kritis mengenai backdoor berbahaya yang dikenal sebagai Loki, yang digunakan dalam serangkaian serangan terarah kepada setidaknya 12 perusahaan di Rusia. Malware ini, yang dikenali oleh Kaspersky sebagai Backdoor.Win64.MLoki, merupakan versi modifikasi dari kerangka kerja pascaeksploitasi open-source bernama Mythic. Serangan ini terjadi di berbagai sektor, termasuk teknik dan kesehatan, menunjukkan bahwa ancaman ini cukup luas dan beragam.
Loki menyebar melalui teknik phishing, di mana penyerang mengirimkan email dengan lampiran berbahaya yang sering kali dibuka oleh korban tanpa curiga. Setelah diinstal, Loki memberikan kontrol luas kepada penyerang di sistem yang terinfeksi. Ini termasuk kemampuan untuk mengelola token akses Windows dan menyuntikkan kode ke dalam proses yang sedang berjalan. Selain itu, Loki dapat mentransfer file dengan mudah antara mesin yang terinfeksi dan server perintah dan kontrol.
Artem Ushkov, pengembang penelitian di Kaspersky, menjelaskan, “Popularitas kerangka kerja pascaeksploitasi open-source semakin meningkat. Meskipun berguna untuk meningkatkan keamanan infrastruktur, kami melihat penyerang semakin banyak mengadopsi dan memodifikasinya untuk menyebarkan malware.” Ungkapan ini menunjukkan bahwa meskipun teknologi ini memiliki manfaat untuk keamanan, penggunaannya oleh pihak yang berniat jahat juga sedang meningkat.
Salah satu keunikan dari Loki adalah penggunaannya terhadap utilitas umum seperti ngrok dan gTunnel untuk bypass keamanan jaringan. Dalam beberapa kasus, utilitas gTunnel dimodifikasi untuk mengeksekusi kode berbahaya di memori target tanpa terdeteksi. Hal ini menunjukkan bahwa penyerang semakin cerdas dalam menghindari deteksi, menggunakan teknik yang lebih kompleks untuk mengeksekusi serangan mereka.
Kaspersky juga mencatat bahwa, meskipun analisis tidak cukup untuk mengaitkan Loki dengan kelompok pelaku ancaman tertentu, pendekatan yang digunakan oleh penyerang dalam kasus ini berbeda. Mereka tampaknya mendekati setiap target secara individual, daripada menggunakan template standar untuk email phishing. Hal ini mencerminkan upaya yang tinggi untuk menargetkan dengan cara yang lebih personal, yang dapat meningkatkan peluang sukses dari serangan tersebut.
Untuk melindungi organisasi dari ancaman seperti Loki, Kaspersky merekomendasikan beberapa langkah strategis. Beberapa di antaranya termasuk tidak mengekspos layanan desktop jarak jauh, seperti Remote Desktop Protocol (RDP), ke jaringan publik kecuali diperlukan, dan selalu menggunakan kata sandi yang kuat. Pastikan juga bahwa solusi perangkat lunak, termasuk VPN, tetap mutakhir untuk menghindari vektor infeksi umum.
Pentingnya mencadangkan data secara teratur juga ditekankan, agar informasi tetap dapat diakses dengan cepat jika terjadi serangan. Menggunakan informasi threat intelligence terbaru bisa membantu organisasi untuk tetap memperbarui pengetahuan mengenai teknik, taktik, dan prosedur (TTP) yang digunakan pelaku ancaman. Terakhir, penerapan layanan Managed Detection and Response (MDR) dapat menjadi langkah kunci untuk mengidentifikasi dan menghentikan serangan pada tahap awal.
Secara keseluruhan, temuan tentang backdoor Loki ini adalah pengingat penting tentang bagaimana ancaman siber terus berkembang dan kompleks. Upaya proaktif untuk memperkuat pertahanan siber akan sangat menentukan dalam melindungi aset serta informasi organisasi.
-
-
-
-
