REPUBLIKA.CO.ID, JAKARTA---Selama investigasi mendalam terhadap aktivitas malware Andariel, subkelompok Lazarus yang terkenal, peneliti Kaspersky menemukan keluarga malware baru yaitu EarlyRat. Keluarga malware baru itu yang ternyata digunakan bersama dengan malware Dtrack dan ransomware Maui yang juga merupakan utilitas Andariel.
Analisis baru telah memberikan efektivitas waktu yang diperlukan untuk atribusi dan secara proaktif mendeteksi serangan di tahap awal.
Andariel memulai infeksi dengan memanfaatkan eksploitasi Log4j, yang memungkinkan pengunduhan malware tambahan dari infrastruktur perintah-dan-kontrol (C2). Meskipun bagian awal dari malware yang diunduh tidak ditangkap, diamati bahwa backdoor Dtrack kemudian diunduh segera setelah eksploitasi Log4j.
Aspek investigasi yang menarik muncul ketika Kaspersky mampu mereplikasi proses eksekusi perintah. Menjadi jelas bahwa perintah dalam kampanye Andariel dijalankan oleh operator manusia, mungkin dengan sedikit pengalaman, sebagaimana dibuktikan dengan banyaknya kekeliruan dan kesalahan ketik yang dibuat. Misalnya, operator salah menulis “Prorgram”, bukan “Program”.
Di antara temuan tersebut, peneliti Kaspersky menemukan versi EarlyRat di salah satu kasus Log4j. Dalam beberapa kasus EarlyRat diunduh melalui kerentanan Log4j, sementara di kasus lain ditemukan bahwa dokumen phishing akhirnya menyebarkan EarlyRat.
EarlyRat, seperti banyak Trojan Akses Jarak Jauh (Remote Access Trojans/RAT) lainnya, mengumpulkan informasi sistem saat aktivasi dan mengirimkannya ke server C2 menggunakan templat tertentu. Data yang dikirimkan mencakup pengidentifikasi mesin unik (ID) dan kueri, yang dienkripsi menggunakan kunci kriptografik yang ditentukan di ruang ID.
Dalam hal fungsionalitas, EarlyRat menunjukkan kesederhanaan, terutama terbatas pada menjalankan perintah. Menariknya, EarlyRat berbagi beberapa kesamaan tingkat tinggi dengan MagicRat – malware yang telah digunakan oleh Lazarus sebelumnya – seperti penggunaan kerangka kerja (QT untuk MagicRat dan PureBasic untuk EarlyRat) dan fungsi terbatas dari kedua RAT.
Jornt van der Wiel, peneliti keamanan senior, GReAT di Kaspersky, mengatakan dalam lanskap kejahatan dunia maya yang luas, Kaspersky menjumpai banyak pemain dan grup yang beroperasi dengan komposisi yang berbeda-beda. Merupakan hal yang umum bagi grup untuk mengadopsi kode dari orang lain, dan bahkan afiliasi yang dapat dianggap sebagai entitas independen, berganti-ganti jenis malware yang berbeda.
“Dengan berfokus pada taktik, teknik, dan prosedur (TTP), seperti yang kami lakukan dengan Andariel, kami dapat secara signifikan mengurangi waktu atribusi dan mendeteksi serangan pada tahap awal,” ujar Jornt van der Wiel dalam siaran pers, Kamis (6/7/2023).
Untuk menghindari menjadi korban serangan tertarget oleh aktor ancaman yang dikenal maupun tidak dikenal, peneliti Kaspersky merekomendasikan untuk menerapkan langkah-langkah berikut:
- Beri tim SOC (security operations centre) Anda akses ke intelijen ancaman (TI) terbaru. Portal Intelijen Ancaman Kaspersky adalah satu titik akses untuk TI perusahaan, menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
- Tingkatkan tim keamanan siber Anda untuk mengatasi ancaman tertarget terbaru dengan pelatihan daring Kaspersky yang dikembangkan oleh pakar GreAT.
- Untuk deteksi tingkat titik akhir, investigasi, dan remediasi insiden secara tepat waktu, implementasikan solusi EDR seperti Kaspersky Endpoint Detection and Response.
- Selain mengadopsi perlindungan titik akhir yang esensial, terapkan solusi keamanan tingkat korporat yang mendeteksi ancaman tingkat lanjut pada level jaringan tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
Karena banyak serangan tertarget dimulai dengan phishing atau teknik rekayasa sosial lainnya, perkenalkan pelatihan tim kesadaran keamanan siber dan ajarkan keterampilan praktis kepada tim Anda-misalnya, melalui Kaspersky Automated Security Awareness Platform.