Peneliti Kaspersky : Waspada Spyware Dengan Aplikasi VPN Jebakan
Jakartakita.com – Pada kuartal ketiga tahun 2022, peneliti Kaspersky menemukan kampanye spionase Android yang sebelumnya tidak dikenal, yang dijuluki SandStrike.
Aktor ancaman tersebut menargetkan minoritas agama berbahasa Persia, Baháʼí, melalui penyebaran aplikasi VPN yang berisi spyware yang sangat canggih.
Pakar Kaspersky juga menemukan upgrade lanjutan dari klaster DeathNote dan – bersama dengan SentinelOne – berupa temuan malware Metatron yang belum pernah dilihat sebelumnya.
Temuan tersebut dan lainnya terungkap dalam ringkasan intelijen ancaman triwulanan terbaru Kaspersky.
Untuk memikat korban agar mengunduh implan spyware, aktor ancaman membuat akun Facebook dan Instagram dengan lebih dari 1.000 pengikut dan merancang materi grafis bertema agama yang menarik, membuat jebakan yang efektif bagi penganut keyakinan ini.
Sebagian besar akun media sosial ini berisi tautan ke saluran Telegram yang juga dibuat oleh penyerang.
Pada saluran ini, aktor di balik SandStrike mendistribusikan aplikasi VPN yang tampaknya tidak berbahaya, untuk mengakses situs yang dilarang di wilayah tertentu, misalnya; materi terkait agama.
Untuk membuat aplikasi ini berfungsi penuh, aktor ancaman juga menyiapkan infrastruktur VPN mereka sendiri.
Namun, klien VPN berisi spyware yang berfungsi penuh dengan kemampuan yang memungkinkan pelaku ancaman untuk mengumpulkan dan mencuri data sensitif, termasuk log panggilan, daftar kontak, dan juga melacak aktivitas lebih lanjut dari individu yang ditargetkan.
Sepanjang kuartal ketiga tahun 2022, para aktor APT terus mengubah taktik, mengasah perangkat dan mengembangkan teknik baru mereka.
Temuan yang paling signifikan meliputi:
1.Platform malware canggih baru yang menargetkan perusahaan telekomunikasi, ISP, dan universitas. Bersama dengan SentinelOne, peneliti Kaspersky menganalisis platform malware canggih yang belum pernah dilihat sebelumnya yang dijuluki Metatron. Metatron terutama menargetkan telekomunikasi, penyedia layanan internet, dan universitas di negara-negara Timur Tengah dan Afrika. Metatron dirancang untuk melewati solusi keamanan asli sembari menyebarkan platform malware langsung ke memori.
2.Peningkatan alat canggih dengan kemampuan luar biasa
Pakar Kaspersky mengamati Lazarus menggunakan cluster DeathNote yang menargetkan korban di Korea Selatan. Pelaku kemungkinan menggunakan kompromi web strategis, menggunakan rantai infeksi yang serupa dengan yang dilaporkan peneliti Kaspersky sebelumnya, yaitu menyerang program keamanan titik akhir. Namun, para ahli menemukan bahwa malware dan skema infeksi juga telah diperbarui. Aktor tersebut menggunakan malware yang belum pernah terlihat sebelumnya, dengan fungsionalitas minimal untuk menjalankan perintah dari server C2. Menggunakan backdoor yang ditanamkan ini, operator bersembunyi di lingkungan korban selama sebulan dan mengumpulkan informasi sistem.
3.Spionase dunia maya terus menjadi tujuan utama kampanye APT
Pada kuartal ketiga tahun 2022, peneliti Kaspersky mendeteksi banyak kampanye APT, yang target utamanya adalah lembaga pemerintah. Penyelidikan Kaspersky baru-baru ini menunjukkan bahwa tahun ini, mulai Februari dan seterusnya, HotCousin telah berusaha untuk menargetkan kementerian luar negeri di Eropa, Asia, Afrika, dan Amerika Selatan.
“Seperti yang dapat kita lihat dari analisis tiga bulan terakhir, aktor APT sekarang sangat sering digunakan untuk membuat alat serangan dan mengupgrade yang lama untuk meluncurkan kampanye berbahaya baru lainnya. Dalam serangannya, mereka menggunakan metode cerdas dan tak terduga: SandStrike, menyerang pengguna melalui layanan VPN, di mana itu digunakan sebagai perlindungan dan keamanan, merupakan contoh yang sangat baik. Saat ini, mudah untuk mendistribusikan malware melalui jejaring sosial dan tetap tidak terdeteksi selama beberapa bulan atau bahkan lebih. Inilah mengapa sangat penting untuk tetap waspada seperti biasa dan memastikan Anda dipersenjatai dengan intelijen ancaman dan alat yang tepat untuk melindungi dari ancaman yang ada,” komentar Victor Chebyshev, peneliti keamanan utama di GReAT (Global Research & Analysis Team) Kaspersky, seperti dilansir dalam siaran pers, Senin (07/11).
Adapun untuk menghindari menjadi korban serangan yang ditargetkan oleh aktor ancaman yang dikenal atau tidak dikenal, peneliti Kaspersky merekomendasikan untuk menerapkan langkah-langkah berikut:
1.Berikan tim SOC (Security Operation Center) Anda akses ke intelijen ancaman (TI) terbaru. Portal Intelijen Ancaman Kaspersky adalah satu titik akses untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama 20 tahun terakhir. Untuk membantu bisnis mengaktifkan pertahanan yang efektif di masa yang penuh gejolak ini, Kaspersky mengumumkan akses gratis ke informasi independen yang terus diperbarui dan bersumber secara global tentang serangan dan ancaman siber yang sedang berlangsung. Dapatkan akses onlinenya di sini.
2.Tingkatkan kemampuan tim keamanan siber Anda untuk memungkinkan mereka mengatasi ancaman tertarget terbaru dengan pelatihan online Kaspersky yang dikembangkan oleh para ahli GReAT.
3.Gunakan solusi EDR tingkat perusahaan seperti Kaspersky EDR Expert. Sangat penting untuk mendeteksi ancaman di tengah banyaknya peringatan yang tersebar berkat penggabungan otomatis notifikasi ke dalam insiden serta untuk menganalisis dan menanggapi insiden dengan cara yang paling efektif.
4.Selain mengadopsi perlindungan titik akhir, terapkan solusi keamanan tingkat korporat yang mendeteksi ancaman tingkat lanjut di tingkat jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
5.Karena banyak serangan yang ditargetkan dimulai dengan teknik rekayasa sosial, seperti phishing, perkenalkan pelatihan kesadaran keamanan dan ajarkan keterampilan praktis kepada tim Anda – menggunakan alat seperti Kaspersky Automated Security Awareness Platform.