Malware RAT Adwind Terbaru Bidik Perusahaan Minyak AS

Oktarina Paramitha Sandy
 Jumat, 04 Oktober 2019 - 12:30 WIB   2076

Ilustrasi | Foto: welivesecurity.com

Cyberthreat.id – Peretas yang tidak dikenali menargetkan perusahaan-perusahaan di industri perminyakan Amerika Serikat. Mereka diduga mencuri data melalui akses jarak jauh dengan Trojan (RAT) yang sering dipakai untuk menyerang perusahaan ritel dan perhotelan.

Netskope, perusahaan perangkat lunak dan keamanan siber asal Amerika Serikat, mengatakan, institusinya telah mengamati adanya lonjakan salah satu jenis malware, yaitu RAT Adwind. Malware ini menyerang para kliennya yang bergerak di industri perminyakan.

“Serangan yang masuk tampaknya berasal dari domain milik Westnet, ISP (penyedia layanan internet) Australia,” demikian laporan Netskope seperti dikutip dari Dark Reading yang diakses Jumat (4 Oktober 2019),

“Yang tidak jelas,” kata Netskope,”Apakah penyerang merupakan pelanggan Westnet atau telah mengkompromikan akun milik pelanggan Westnet dan menggunakannya untuk mendistribusikan Adwind.”

Kabar serangan terhadap perusahaan-perusahaan minyak AS bertepatan dengan laporan terbaru mengenai pemerintah AS yang merencanakan serangan siber terhadap Iran. Serangan AS itu, tulis Dark Reading, karena “untuk menghukum” Iran atas dugaan keterlibatannya dalam pemboman terhadap fasilitas minyak utama di Arab Saudi.

Sebelumnya, Kementerian Perminyakan Iran mengeluarkan peringatan kepada industri perminyakan negara itu untuk waspada terhadap serangan siber yang akan dilakukan AS.

Menurut Netskope, infrastruktur komando dan kontrol yang digunakan penyerang dalam kampanye malware Adwind berbeda dari serangan terhadap peritel dan perhotelan.

Berita Terkait:

Malware Adwind, tulis Dark Reading, dijual sebagai malware komoditas di pasar gelap internet dan beberapa peretas telah menggunakannya dalam berbagai kampanye selama dua tahun terakhir.

Dari segi fungsionalitas, Adwind yang dipakai untuk serangan industri perminyakan sangat mirip dengan sampel Adwind yang lebih lama.

Adwin yang terbaru ini dapat melakukan hal sebagai berikut:

  • mengenkripsi dan mengekstrak data
  • mengambil gambar melalui kamera web
  • memindai hard drive untuk file tertentu berdasarkan ekstensi yang ditentukan dalam konfigurasi malware
  • menyuntikkan kode berbahaya ke dalam proses yang sah untuk tetap berada dalam pengawasan, dan
  • memonitor status sistem.

Selain itu, kata Netskope, malware itu juga memodifikasi pengaturan registrasi untuk mendapatkan kekuatan dan dapat menghentikan firewall, AV, dan layanan keamanan lain pada perangkat yang terinfeksi.

Analisis Netskope menunjukkan, Adwind menggunakan beberapa arsip JAR yang tertanam sebelum membongkar muatan terakhir. JAR atau Java Archive adalah format file yang memungkinkan beberapa file digabungkan menjadi satu file.

Berita Terkait:

"Java menjadi lintas-platform menjadikannya pilihan ideal jika penyerang ingin menargetkan beberapa sistem operasi,” ujar Abhinav Singh, peneliti keamanan informasi di Netskope.

“Dengan membuat beberapa lapisan arsip JAR yang tertanam dan terenkripsi, menjadi sangat sulit bagi solusi keamanan untuk memahami perilaku dan fungsi aktual dari JAR."

Adwind terbaru juga mempercepat beberapa proses eksekusi, yang semakin memperumit pekerjaan untuk melacak perilaku yang mencurigakan.

“Menganalisis sampel malware ini seperti mengupas bawang, lapis demi lapis,” tulis Netskope.

Analisis Netskope menunjukkan para penyerang tertarik pada dokumen, file, dan data yang disimpan secara lokal. Mereka juga tampak tertarik mencari informasi seperti kata sandi FTP dan kunci SSH yang dapat memberikan lebih banyak akses ke jaringan.

"Hal utama yang dapat diambil di sini adalah bahwa serangan dan aktor ancaman terus berevolusi,” tulis Netskope.

“Dengan menggunakan kembali teknik-teknik lama dengan cara-cara baru, mereka mencoba menargetkan perusahaan di mana manajemen infrastruktur rumit dan sulit untuk ditingkatkan."

Redaktur: Andi Nugroho

Tags