JAKARTA, Titik Kumpul – Tim Riset dan Analisis Global (GREAT) Kaspersky menemukan bahwa kelompok SideWinder APT memperluas aktivitas serangan sibernya ke Timur Tengah dan Afrika, menggunakan alat mata-mata yang sebelumnya tidak diketahui bernama ‘StealerBot’.
Sebagai bagian dari pemantauan berkelanjutan terhadap aktivitas APT, Kaspersky menemukan bahwa kampanye saat ini menargetkan objek-objek penting dan infrastruktur strategis di area tersebut, namun kampanye tersebut secara umum aktif dan mungkin menargetkan korban lainnya.
SideWinder, juga dikenal sebagai T-APT-04 atau RattleSnake, adalah salah satu dari banyak kelompok APT yang meluncurkan operasi serangan siber pada tahun 2012.
Selama bertahun-tahun, kelompok ini telah menjadi pusat utama bagi lembaga-lembaga militer dan pemerintah di Pakistan, Sri Lanka, Tiongkok, Nepal, dan sektor serta negara lain di Asia Selatan dan Tenggara.
Baru-baru ini, Kaspersky mengamati beberapa gelombang serangan baru yang ingin mempengaruhi objek-objek penting dan infrastruktur strategis di Timur Tengah dan Afrika.
Selain perluasan wilayah, Kaspersky menemukan bahwa SideWinder menggunakan eksploitasi yang sebelumnya tidak diketahui yang disebut ‘StealerBot’. Ini adalah implan modular canggih yang dirancang khusus untuk operasi migrasi dan saat ini digunakan oleh kelompok tersebut sebagai alat eksploitasi utama.
“Singkatnya, StealerBot adalah alat mata-mata tersembunyi yang memungkinkan penjahat dunia maya memata-matai sistem tanpa mudah terdeteksi,” kata Giampolo Dedola, kepala peneliti keamanan Kaspersky.
Selama penelitian terbarunya, Kaspersky mengamati bahwa StealerBot melakukan banyak tindakan jahat seperti memasang malware, menangkap tangkapan layar, memasukkan kunci, mencuri kata sandi dari browser, mengganggu kredensial RDP (Protokol Desktop), dan mengekstraksi file.
Kaspersky pertama kali melaporkan aktivitas grup tersebut pada tahun 2018. Penjahat ditemukan mengandalkan email spear-phishing sebagai metode infeksi utamanya, berisi dokumen berbahaya yang mengeksploitasi bug Office dan terkadang menggunakan file LNK, HTML, dan HTA yang terdapat dalam arsip.
Dokumen tersebut sering kali berisi informasi yang diperoleh dari situs publik, yang digunakan untuk mengelabui korban agar membuka file tersebut dan meyakini bahwa file tersebut sah.
