Jakarta – Pakar Kaspersky telah mengidentifikasi versi baru dari pintu belakang Loki yang sebelumnya tidak diketahui. Malware ini telah digunakan dalam serangkaian serangan yang menargetkan setidaknya dua belas perusahaan Rusia di berbagai sektor, termasuk teknologi dan layanan kesehatan.
Apa itu Loki Pintu Belakang? Malware ini, yang diidentifikasi oleh Kaspersky sebagai Backdoor.Win64.MLoki, adalah versi agen swasta dari kerangka kerja pasca-eksploitasi open source Mythic. Loki menyebar melalui email phishing dengan lampiran berbahaya.
Setelah diaktifkan, penyerang dapat mengendalikan sistem yang terinfeksi, mengelola token akses Windows, memasukkan kode ke dalam proses yang berjalan, dan mentransfer file antara mesin yang terinfeksi dan server perintah-dan-kontrol.
Meningkatnya penggunaan kerangka kerja sumber terbuka oleh penyerang “Meningkatnya penggunaan kerangka kerja sumber terbuka oleh penyerang sungguh mengkhawatirkan,” kata pengembang riset Kaspersky, Artem Ushkov. “Loki menunjukkan bagaimana Anda dapat menyesuaikan alat-alat ini untuk menghindari deteksi dan penuntutan.”
Cara Kerja Loki Agen Loki sendiri tidak mendukung penerowongan lalu lintas, sehingga penyerang menggunakan alat yang tersedia untuk umum seperti ngrok dan gTunnel untuk menembus jaringan pribadi. Kaspersky menemukan bahwa dalam beberapa kasus, utilitas gTunnel telah dimodifikasi untuk mengeksekusi kode berbahaya di memori komputer target menggunakan goreflect, sehingga lebih sulit untuk dideteksi.
Serangan yang ditargetkan Meskipun Kaspersky belum mengaitkan Loki dengan kelompok ancaman tertentu, analisis mereka menunjukkan bahwa penyerang menyesuaikan setiap email phishing dengan target mereka. Hal ini menunjukkan bahwa serangan ini sangat tepat sasaran dan terencana dengan baik.
Untuk melindungi organisasi Anda dari ancaman seperti Loki, berikut beberapa tips:
– Jangan memaparkan layanan desktop jarak jauh seperti RDP ke jaringan publik kecuali benar-benar diperlukan, dan selalu gunakan kata sandi yang kuat.
– Pastikan untuk selalu memperbarui VPN komersial dan solusi perangkat lunak sisi server lainnya, karena eksploitasi dalam jenis perangkat lunak ini adalah vektor infeksi ransomware yang umum. Selalu perbarui aplikasi sisi klien.
– Fokus pada strategi keamanan untuk mendeteksi pergerakan lateral ke Internet dan pencurian data. Berikan perhatian khusus pada lalu lintas keluar untuk mengidentifikasi koneksi ke penjahat dunia maya.
– Cadangkan data secara teratur. Pastikan Anda dapat mencapainya dengan cepat dalam keadaan darurat.
– Gunakan intelijen ancaman terbaru untuk tetap mendapat informasi tentang TTP terbaru yang digunakan oleh pelaku ancaman.
