Malware Trojan Baru Serang Perusahaan Ekspedisi di Kuwait
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Perusahaan transportasi dan ekspedisi mulai jadi sasaran serangan siber. Peretas (cracker) menargetkan perusahaan dengan perangkat yang belum dikenal sebelumnya, yaitu berupa malware trojan khusus.
Serangan itu diketahui setelah riset yang dilakukan oleh para peneliti di Divisi Intelijen Ancaman di Unit 42 Palo Alto Networks – perusahan cybersecurity berpusat di Santa Clara, California, AS.
Menurut peneliti, kampanye serangan telah aktif sejak Mei 2019 dan berfokus pada perusahaan transportasi dan ekspedisi yang beroperasi di Kuwait di Teluk Persia. Serangan itu dijuluki xHunt dan pertama kali terungkap pada Mei setelah skrip berbahaya ditemukan di jaringan seorang korban di Kuwait.
Masih belum pasti bagaimana serangan berawal, tetapi para penyerang memasang pintu belakang (backdoor) bernama Hisoka versi 0.8 yang memfasilitasi pengiriman malware tambahan yang tampaknya telah dikembangkan oleh penulis yang sama, demikian seperti dikutip dari ZDNet, Selasa (24 September 2019).
Salah satu “keluarga malware” tambahan itu adalah Gon, yang memungkinkan penyerang memindai port terbuka pada sistem jarak jauh, mengunggah dan mengunduh file, mengambil tangkapan layar, menemukan sistem lain di jaringan, menjalankan perintah dan membuat fungsi Remote Desktop Protocol (RDP) sendiri.
“Semua ini pada akhirnya memungkinkan penyerang untuk memonitor setiap tindakan pada sistem yang terinfeksi dan diam-diam kabur dengan file dan data lainnya,” tulis ZDNet.
xHunt juga berhasil menyusup ke jaringan perusahaan pengiriman dan transportasi Kuwait untuk kali kedua pada Juni lalu. Para peneliti mencatat bahwa versi Hisoka ini terdaftar sebagai versi 0.9, dan dilengkapi dengan kemampuan tambahan, termasuk kemampuan untuk mentransfer dirinya ke sistem lain menggunakan hak istimewa protokol Server Message Block (SMB) dari akun layanan TI internal.
Malware juga mencoba masuk ke layanan Exchange menggunakan kredensial akun yang sah dan membantu penyerang untuk mengirim dan menerima perintah.
Para peneliti juga menemukan kesamaan dalam kode ke alat jahat lain–Sakabota–yang telah aktif sejak setidaknya Juli 2018. Peneliti meyakini Sakabota adalah pendahulu dari Hisoka, yang dikembangkan oleh penulis yang sama.
Pintu belakang Gon juga berisi kode yang digunakan dalam Sakabota, sekali lagi menunjuk ke semua alat yang memiliki penulis atau penulis yang sama.
"Para penyerang telah menambahkan beberapa kemampuan yang menyenangkan untuk Hisoka dan perangkat yang terkait. Para penyerang menyadari kemungkinan langkah-langkah keamanan yang ada pada target mereka dan telah berusaha mengembangkan cara-cara untuk masuk tanpa terdeteksi," Ryan Olson, Wakil Presiden Intelijen Intelijen di Unit 42.
Menurut peneliti, beberapa infrastruktur dan domain bersama di belakang Hisoka, Sakabota, dan Gon menunjukkan potensi tumpang tindih dengan OilRig–juga dikenal sebagai APT 35 dan Helix Kitten; sebuah operasi peretasan yang sering dituduhkan dapat dukungan dari pemerintah Iran. Para peneliti di IBM X-Force juga mengaitkan serangan terbaru yang menargetkan Kuwait ke Iran. Namun, sejauh ini belum ada bukti kuat terkait dengan Iran.
