Malware Samurai dan Ninja Incar Server Microsoft Exchange

Microsoft Deteksi Malware Destruktif Menginfeksi Puluhan Situs Web Pemerintah Ukraina — Foto: DW (News)

Jakarta -

Peneliti dari Kaspersky menemukan ancaman yang dilakukan kelompok advanced persisten threat (APT) ToddyCat yang menyerang server Microsoft Exchange menggunakan samurai dan ninja.

Tepatnya, APT ToddyCat itu menyerang server Microsoft Exchange menggunakan dua malware berbahaya yang bernama Samurai Backdoor dan Ninja Trojan. Sasaran utama dari serangan ini adalah sektor pemerintahan dan militer di Eropa dan Asia.

ToddyCat ini bisa dibilang adalah kelompok APT yang relatif baru namun canggih. Kemunculannya pertama dideteksi peneliti Kaspersky pada Desember 2020, yaitu saat mereka menyerang server Microsoft Exchange.

SCROLL TO CONTINUE WITH CONTENT

Kemudian pada Februari-Maret 2021, perusahaan keamanan siber asal Rusia itu melihat adanya eskalasi pesat saat ToddyCat memanfaatkan celah ProxyLogon pada server Microsoft Exchange untuk menyerang berbagai organisasi di Asia dan Eropa.

Sejak September 2021, kelompok ini mengubah perhatian ke mesin desktop yang berhubungan dengan entitas pemerintahan dan diplomatik di Asia. Kelompok ini terus memperbarui persenjataannya dan tetap melanjutkan serangan di tahun 2022.

Meskipun vektor awal infeksi, atau metode ekploitasi, dari serangan terbaru mereka belum diketahui, para peneliti Kaspersky telah melakukan analisis menyeluruh terhadap malware yang digunakan dalam serangan. ToddyCat menggunakan Samurai Backdoor dan Ninja Trojan, dua tools mata-mata cyber canggih yang didesain untuk menembus jauh ke dalam jaringan target sasaran, sambil terus mempertahankan mode terselubung mereka.

Samurai adalah backdoor modular; ini adalah komponen tingkat akhir dari serangan yang memungkinkan pelaku mengelola sistem jarak jauh dan bergerak di samping atau di sisi jaringan yang disusupi. Malware ini menonjol karena menggunakan beberapa control flow dan case statement untuk melompat di antara instruksi, sehingga sangat sulit untuk melacak urutan tindakan di dalam kode.

Selain itu, malware ini digunakan untuk meluncurkan malware baru yang disebut Ninja Trojan, tool kolaboratif kompleks yang memungkinkan beberapa operator bekerja secara bersamaan di mesin yang sama.

Sementara Ninja Trojan juga menyediakan set perintah yang besar, yang memungkinkan pelaku untuk mengontrol sistem jarak jauh sambil menghindari pendeteksian. Trojan ini biasanya dimasukkan (load) ke dalam memori perangkat dan diluncurkan oleh berbagai loaders.

Baca juga: AS dkk Hajar Jaringan Hacker Rusia

Cara kerja trojan Ninja ada di halaman berikutnya >>>

Ninja Trojan memulai operasinya dengan mengambil parameter konfigurasi dari payload terenkripsi, lalu menyusup jauh ke jaringan yang diinfeksinya. Kemampuan malware ini antara lain mengelola sistem file, memulai reverse shell, meneruskan paket TCP, dan bahkan mengambil alih jaringan dalam jangka waktu tertentu, yang bisa dikonfigurasi secara dinamis menggunakan perintah tertentu.

Malware ini juga menyerupai beberapa kerangka post-exploitation ternama, misalnya CobaltStrike, dengan fitur Ninja yang memungkinkan malware ini membatasi jumlah koneksi langsung dari jaringan yang disasar ke sistem perintah dan kendali (command and control) jarak jauh tanpa akses internet.

Selain itu, malware ini bisa mengontrol indikator HTTP dan menyamarkan trafik berbahaya ke dalam permintaan HTTP sehingga terlihat aman dengan memodifikasi header HTTP dan path URL. Kemampuan ini membuat Ninja Trojan sangat tersembunyi.

"ToddyCat adalah kelompok ancaman canggih dengan kemampuan teknis tinggi, mampu menghindari pendeteksian, dan menyusup ke organisasi tingkat tinggi. Terlepas dari jumlah loader dan serangan yang ditemukan selama setahun terakhir, kami masih belum memiliki pandangan lengkap terkait operasi dan taktik mereka. Karakteristik penting lain dari ToddyCat adalah bahwa ia fokus pada kemampuan malware canggih - Ninta Trojan disebut demikian karena kemampuannya - yang sulit dideteksi dan oleh karena itu sulit dihentikan," jelas Giampolo Dedola, pakar keamanan Kaspersky, dalam keterangan yang diterima detikINET.

"Cara terbaik untuk menghadapi ancaman seperti ini adalah dengan menggunakan pertahanan berlapis, yang memberi informasi tentang aset internal dan selalu up-to-date dengan intelijen ancaman terbaru," tutupnya.

Halaman 1 2

Selanjutnya