.webp)
Serangan ini tampaknya sangat terfokus pada organisasi yang bergerak di sektor perbankan, sekuritas, perdagangan, dan pembayaran gaji. Organisasi yang menyediakan layanan dukungan untuk industri ini juga menjadi target.
Menurut perusahaan keamanan internet Symantec, Odinaff biasanya digunakan dalam tahap pertama dari serangan, untuk mendapatkan pijakan di jaringan, sehingga dapat hadir terus-menerus dan memiliki kemampuan untuk menginstal alat tambahan ke jaringan yang menjadi target.
SCROLL TO CONTINUE WITH CONTENT
Serangan-serangan ini membutuhkan keterlibatan besar dengan penggelaran yang metodis dari berbagai back door ringan dan alat yang dibuat khusus, ke dalam komputer target yang spesifik.
"Tampaknya ada investasi besar dalam koordinasi, pengembangan, penggelaran, dan operasi alat-alat tersebut selama serangan. Alat-alat malware yang disesuaikan dan dibuat dengan tujuan untuk komunikasi tersembunyi (Backdoor.Batel), penemuan jaringan, pencurian kredensial, dan pemantauan aktivitas karyawan, dikerahkan," jelas Symantec, dalam keterangannya yang diterima detikINET.
Meskipun sulit untuk dilakukan, jenis-jenis serangan terhadap bank bisa sangat menguntungkan. Perkiraan dari total kerugian serangan terkait dengan Carbanak berkisar dari puluhan juta hingga ratusan juta dolar.
Ancaman Global
Serangan yang melibatkan Odinaff disinyalir telah dimulai pada Januari 2016. Serangan itu menghantam berbagai daerah, dengan AS yang paling sering ditargetkan, diikuti oleh Hongkong, Australia, Inggris dan Ukraina.
Sebagian besar serangan Odinaff tertuju pada target keuangan. Dalam serangan dimana sifat bisnis korban diketahui, sejauh ini keuangan merupakan sektor yang paling sering terkena, akuntansi untuk 34 persen dari serangan.
Ada sejumlah kecil serangan terhadap organisasi di bidang sekuritas, hukum, layanan kesehatan, pemerintah dan jasa layanan pemerintah. Namun, tidak jelas apakah semuanya termotivasi karena finansial.
Sekitar 60 persen dari serangan ditargetkan pada sektor bisnis tidak diketahui, tetapi dalam banyak kasus serangan dilancarkan ke komputer yang menjalankan aplikasi software keuangan, yang berarti serangan itu kemungkinan besar dimotivasi oleh keuntungan finansial.
Odinaff menggunakan berbagai metode untuk masuk ke jaringan organisasi yang ditargetkan. Salah satu metode serangan paling umum adalah melalui dokumen bujukan yang berisi makro berbahaya. Jika penerima memilih untuk mengaktifkan makro, maka makro tersebut akan menginstal Trojan Odinaff di komputer mereka.
Serangan lain melibatkan penggunaan arsip RAR dengan perlindungan sandi, dengan tujuan untuk membuat korban menginstal Odinaff di komputer mereka. Meskipun Symantec belum melihat bagaimana dokumen-dokumen berbahaya atau link tersebut didistribusikan, kami yakin email spear-pishing adalah metode yang paling memungkinkan.
Trojan.Odinaff juga terlihat didistribusikan melalui botnet, dimana Trojan dimasukkan ke dalam komputer yang sudah terinfeksi malware lainnya, seperti Andromeda ((Downloader.Dromedan) dan Snifula (Trojan.Snifula).
Dalam kasus Andromeda, ini digabungkan sebagai installer Trojanized untuk AmmyyAdmin, alat administrasi jarak jauh yang sah. Installer Trojanized di download dari situs resmi, yang telah ditargetkan berulang kali dalam beberapa waktu terakhir untuk menyebarkan sejumlah keluarga malware yang berbeda.
Perangkat Malware
Odinaff adalah Trojan backdoor ringan yang berhubungan ke ke remote host dan mencari perintah setiap lima menit. Odinaff memiliki dua fungsi utama: dapat mengunduh file terenkripsi RC4 dan mengeksekusi mereka dan juga dapat mengeluarkan perintah shell, yang ditulis ke sekumpulan file dan kemudian dieksekusi.
Mengingat sifat spesial dari serangan-serangan ini, sejumlah besar intervensi manual diperlukan. Kelompok Odinaff berhati-hati mengelola serangannya, menjaga agar tak terdeteksi di jaringan organisasi, mendownload dan menginstal alat-alat baru hanya bila diperlukan.
Trojan.Odinaff digunakan untuk melakukan kompromi awal, sementara alat-alat lain dikerahkan untuk menyelesaikan serangan. Potongan kedua malware dikenal sebagai Batle (Backdoor.Batel) digunakan pada komputer yang menarik bagi penyerang. Ini mampu menjalankan muatan hanya dalam memori, yang berarti malware dapat mempertahankan kehadiran tersembunyi pada komputer yang terinfeksi.
Para penyerang memperluas penggunaan rangkaian alat hacking yang ringan dan software sah untuk melintasi jaringan dan mengidentifikasi komputer utama, hal ini termasuk:
Β· Mimikatz, alat pemulihan sandi open source
Β· PsExec, alat eksekusi proses dari SysInternals
Β· Netscan, alat scanning jaringan
Β· Ammyy Admin (Remacc.Ammyy) dan varian Remote Manipulator System (Backdoor.Gussdoor)
Β· Runas, alat untuk menjalankan proses sebagai pengguna lain
Β· PowerShell
Menurut Symantech, kelompok ini juga tampaknya telah mengembangkan malware yang dirancang untuk menyusupi komputer tertentu. Waktu membangun alat-alat ini sangat dekat dengan waktu penggelaran. Diantaranya adalah komponen yang mampu mengambil gambar screenshot pada interval antara lima dan 30 detik.
Kaitan dengan Carbanak
Serangan-serangan yang melibatkan Odinaff membagikan beberapa tautan ke kelompok Carbanak, yang kegiatannya menjadi pembicaraan publik pada akhir 2014. Carbanak juga mengkhususkan diri dalam serangan-serangan bernilai tinggi terhadap lembaga keuangan dan telah terlibat dalam serangkaian serangan terhadap bank selain ke intrusi titik penjualan (PoS).
Selain dari modus operandi yang sama, ada sejumlah link lainnya antara Carbanak dan Odinaff:
Β· Ada tiga komando dan kontrol (C&C) alamat IP yang telah terhubung ke kampanye Carbanak yang telah dilaporkan sebelumnya
Β· Satu alamat IP yang digunakan oleh Odinaff disebutkan dalam hubungannya dengan pelanggaran Oracle MICROS, yang dikaitkan dengan kelompok Carbanak
Β· Backdoor.Batel telah terlibat dalam beberapa insiden yang melibatkan Carbanak
"Karena Trojan utama Carbanak, Anunak (Trojan.Carberp.B dan Trojan.Carberp.D) tidak pernah diamati pada kampanye yang melibatkan Odinaff, kami yakin kelompok ini menggunakan sejumlah saluran distribusi rahasia untuk menyusupi organisasi keuangan," tegas Symantec.
Meskipun memungkinkan bahwa Odinaff merupakan bagian dari organisasi yang lebih luas, crossover infrastruktur bersifat atipikal, yang berarti juga bisa menjadi kelompok yang sama atau bekerja sama.
Bank Semakin Jadi Target
Symantec mengungkapkan, penemuan Odinaff menunjukan bahwa bank-bank memiliki risiko serangan yang semakin besar. Selama beberapa tahun terakhir ini, penjahat cyber telah mulai menunjukkan pemahaman yang mendalam tentang sistem keuangan internal yang digunakan oleh bank-bank.
"Mereka telah belajar bahwa bank menggunakan beragam sistem dan telah menginvestasikan waktu untuk mengetahui bagaimana mereka bekerja dan bagaimana karyawan mengoperasikannya. Bila digabungkan dengan keahlian teknis tingkat tinggi yang ada di beberapa kelompok, kelompok-kelompok ini sekarang menimbulkan ancaman yang signifikan bagi organisasi manapun yang mereka targetkan," pungkasnya. (ash/fyk)
Tautan telah disalin