Malware Samurai dan Ninja Incar Server Microsoft Exchange

ADVERTISEMENT

Malware Samurai dan Ninja Incar Server Microsoft Exchange

Anggoro Suryo - detikInet
Minggu, 26 Jun 2022 16:13 WIB
Microsoft Deteksi Malware Destruktif Menginfeksi Puluhan Situs Web Pemerintah Ukraina
Foto: DW (News)
Jakarta -

Peneliti dari Kaspersky menemukan ancaman yang dilakukan kelompok advanced persisten threat (APT) ToddyCat yang menyerang server Microsoft Exchange menggunakan samurai dan ninja.

Tepatnya, APT ToddyCat itu menyerang server Microsoft Exchange menggunakan dua malware berbahaya yang bernama Samurai Backdoor dan Ninja Trojan. Sasaran utama dari serangan ini adalah sektor pemerintahan dan militer di Eropa dan Asia.

ToddyCat ini bisa dibilang adalah kelompok APT yang relatif baru namun canggih. Kemunculannya pertama dideteksi peneliti Kaspersky pada Desember 2020, yaitu saat mereka menyerang server Microsoft Exchange.

Kemudian pada Februari-Maret 2021, perusahaan keamanan siber asal Rusia itu melihat adanya eskalasi pesat saat ToddyCat memanfaatkan celah ProxyLogon pada server Microsoft Exchange untuk menyerang berbagai organisasi di Asia dan Eropa.

Sejak September 2021, kelompok ini mengubah perhatian ke mesin desktop yang berhubungan dengan entitas pemerintahan dan diplomatik di Asia. Kelompok ini terus memperbarui persenjataannya dan tetap melanjutkan serangan di tahun 2022.

Meskipun vektor awal infeksi, atau metode ekploitasi, dari serangan terbaru mereka belum diketahui, para peneliti Kaspersky telah melakukan analisis menyeluruh terhadap malware yang digunakan dalam serangan. ToddyCat menggunakan Samurai Backdoor dan Ninja Trojan, dua tools mata-mata cyber canggih yang didesain untuk menembus jauh ke dalam jaringan target sasaran, sambil terus mempertahankan mode terselubung mereka.

Samurai adalah backdoor modular; ini adalah komponen tingkat akhir dari serangan yang memungkinkan pelaku mengelola sistem jarak jauh dan bergerak di samping atau di sisi jaringan yang disusupi. Malware ini menonjol karena menggunakan beberapa control flow dan case statement untuk melompat di antara instruksi, sehingga sangat sulit untuk melacak urutan tindakan di dalam kode.

Selain itu, malware ini digunakan untuk meluncurkan malware baru yang disebut Ninja Trojan, tool kolaboratif kompleks yang memungkinkan beberapa operator bekerja secara bersamaan di mesin yang sama.

Sementara Ninja Trojan juga menyediakan set perintah yang besar, yang memungkinkan pelaku untuk mengontrol sistem jarak jauh sambil menghindari pendeteksian. Trojan ini biasanya dimasukkan (load) ke dalam memori perangkat dan diluncurkan oleh berbagai loaders.

Cara kerja trojan Ninja ada di halaman berikutnya >>>

ADVERTISEMENT

ADVERTISEMENT

ADVERTISEMENT