.webp)
Ninja Trojan memulai operasinya dengan mengambil parameter konfigurasi dari payload terenkripsi, lalu menyusup jauh ke jaringan yang diinfeksinya. Kemampuan malware ini antara lain mengelola sistem file, memulai reverse shell, meneruskan paket TCP, dan bahkan mengambil alih jaringan dalam jangka waktu tertentu, yang bisa dikonfigurasi secara dinamis menggunakan perintah tertentu.
Malware ini juga menyerupai beberapa kerangka post-exploitation ternama, misalnya CobaltStrike, dengan fitur Ninja yang memungkinkan malware ini membatasi jumlah koneksi langsung dari jaringan yang disasar ke sistem perintah dan kendali (command and control) jarak jauh tanpa akses internet.
SCROLL TO CONTINUE WITH CONTENT
Selain itu, malware ini bisa mengontrol indikator HTTP dan menyamarkan trafik berbahaya ke dalam permintaan HTTP sehingga terlihat aman dengan memodifikasi header HTTP dan path URL. Kemampuan ini membuat Ninja Trojan sangat tersembunyi.
"ToddyCat adalah kelompok ancaman canggih dengan kemampuan teknis tinggi, mampu menghindari pendeteksian, dan menyusup ke organisasi tingkat tinggi. Terlepas dari jumlah loader dan serangan yang ditemukan selama setahun terakhir, kami masih belum memiliki pandangan lengkap terkait operasi dan taktik mereka. Karakteristik penting lain dari ToddyCat adalah bahwa ia fokus pada kemampuan malware canggih - Ninta Trojan disebut demikian karena kemampuannya - yang sulit dideteksi dan oleh karena itu sulit dihentikan," jelas Giampolo Dedola, pakar keamanan Kaspersky, dalam keterangan yang diterima detikINET.
"Cara terbaik untuk menghadapi ancaman seperti ini adalah dengan menggunakan pertahanan berlapis, yang memberi informasi tentang aset internal dan selalu up-to-date dengan intelijen ancaman terbaru," tutupnya.
