Malware SilkLoader Kini Dimiliki Kelompok Peretas Rusia
illustrasi
Cyberthreat,.id – Perusahaan keamanan siber dari Finlandia, WithSecure mengungkapkan bahwa pihaknya mendeteksi "SilkLoader" dalam beberapa kampanye serangan siber yang dilakukan oleh peretas Rusia.
SilkLoader merupakan malware yang dirancang untuk memuat suar Cobalt Strike ke mesin korban, yang digunakan peretas China. Malware ini menggunakan sideload DLL untuk memuat suar, yang biasanya digunakan dalam serangan seperti itu sebagai bagian dari infrastruktur perintah-dan-kontrol (C2), untuk mengunduh muatan tambahan pada mesin yang ditargetkan.
Dikutip dari Info Security Magazine, WithSecure meyakini, aktor ancaman China telah menjual atau memberikan malware mereka kepada kelompok peretas Rusia. Perusahaan tersebut mengatakan bahwa sebelum musim panas 2022, loader tersebut digunakan secara eksklusif oleh yang pertama terhadap target di Hong Kong, China, dan tempat lain di wilayah tersebut. Namun, aktivitas itu berhenti pada bulan Juli hanya untuk malware muncul kembali beberapa bulan kemudian dalam serangan terhadap target yang berbeda di berbagai negara, termasuk Taiwan, Brasil, dan Prancis.
“Kami yakin SilkLoader saat ini didistribusikan dalam ekosistem kejahatan dunia maya Rusia sebagai pemuat siap pakai melalui program Packer-as-a-Service ke grup ransomware, atau mungkin melalui grup yang menawarkan Cobalt Strike/Infrastructure-as-a-Service ke afiliasi tepercaya,” kata peneliti WithSecure Intelligence Mohammad Kazem Hassan Nejad.
Menurut Nejad, sebagian besar afiliasi tampaknya telah menjadi bagian dari atau memiliki hubungan kerja yang erat dengan grup Conti, anggotanya, dan keturunannya setelah dugaan penutupan. Alat itu sendiri hanyalah contoh terbaru dari pelaku ancaman yang berinovasi untuk tetap selangkah lebih maju dari para pembela jaringan. Dalam kasus Cobalt Strike, alat ini sangat terkenal sehingga tindakan defensif biasanya akan mendeteksi dan menahan ancaman tersebut.
“Namun, dengan menambahkan lapisan kompleksitas tambahan ke konten file dan meluncurkannya melalui aplikasi yang dikenal seperti VLC Media Player melalui sideloading, penyerang berharap dapat menghindari mekanisme pertahanan ini,” jelas Nejad.
Gambaran yang lebih besar adalah kejahatan dunia maya semakin global. Meskipun hambatan bahasa dan budaya bersejarah sebagian besar telah mencegah berbagi informasi antara ekonomi kejahatan dunia maya berbahasa China dan Rusia, hal itu mungkin berubah.
“Dalam hal ini, kemungkinan besar penulisnya adalah pembuat kode independen yang menjual alat mereka di forum bawah tanah, komponen semacam itu dapat dan dijual atau diserahkan kepada kelompok lain ketika situasinya mendukung transaksi semacam itu,” klaim laporan tersebut.
