JAKARTA, VIVA – Pakar Kaspersky mengatakan mereka telah mengidentifikasi versi pintu belakang Loki yang sebelumnya tidak diketahui yang digunakan dalam serangkaian serangan siber yang ditargetkan terhadap 12 perusahaan Rusia.
Serangan siber ini terjadi di berbagai industri, termasuk teknik dan layanan kesehatan. Malware tersebut, yang diidentifikasi oleh Kaspersky sebagai Backdoor.Win64.MLoki, adalah versi aktor swasta dari kerangka kerja pasca-eksploitasi sumber terbuka Mythic.
Loci menjangkau komputer korban melalui email phishing dengan lampiran berbahaya yang diluncurkan sendiri oleh pengguna yang tidak menaruh curiga.
Setelah diinstal, Loki segera meluncurkan serangan ekstensif pada sistem yang disusupi, seperti mengelola token akses Windows, memasukkan kode ke dalam proses yang berjalan, dan mentransfer file antara mesin yang terinfeksi serta server perintah dan kontrol.
Agen Loki tidak mendukung terowongan lalu lintas, sehingga peretas atau penyerang menggunakan utilitas yang tersedia untuk umum seperti ngrok dan gTunnel untuk mengakses segmen jaringan pribadi.
Kaspersky juga menemukan bahwa dalam beberapa kasus, utilitas gTunnel telah dimodifikasi menggunakan gorefect untuk mengeksekusi kode berbahayanya di memori komputer target, sehingga menghindari deteksi.
Saat ini tidak ada cukup data untuk menghubungkan Loki dengan kelompok penyerang dunia maya yang ada. Namun, analisis Kaspersky menunjukkan bahwa penyerang mendekati setiap target secara individual dengan hati-hati, dibandingkan mengandalkan template email phishing standar.
“Loki adalah contoh terbaru penyerang yang menguji dan menerapkan kerangka kerja berbeda untuk tujuan jahat dan memodifikasinya untuk mempersulit deteksi dan atribusi. Kami melihat semakin banyak penyerang yang menggunakan dan memodifikasi kerangka kerja ini untuk menyebarkan malware,” kata Artem Ushkov, peneliti di Kaspersky. .
