JAKARTA - Grup Ancaman Persisten Tingkat Lanjut (APT) baru, GoldenJackal berhasil ditemukan oleh Kaspersky, yang kerap targetkan entitas pemerintah dan diplomatik di wilayah Asia Selatan.
GoldenJackal diketahui telah aktif sejak 2019 lalu, tetapi tidak memiliki profil publik. Grup ini tidak hanya menargetkan Asia Selatan, melainkan juga Timur Tengah.
Kaspersky sebagai perusahaan keamanan, mulai memantau grup tersebut pada pertengahan 2020 dengan mengamati aktivitas konsisten, dan menyatakan grup ini agak tersembunyi.
Grup GoldenJackal memanfaatkan seperangkat alat khusus yang ditujukan untuk mengontrol mesin para korban mereka, menyebar ke seluruh sistem menggunakan drive yang dapat dilepas, dan menyelundupkan file tertentu. Mengindikasikan para aktor tersebut adalah spionase.
“GoldenJackal adalah aktor APT yang menarik yang mencoba untuk tidak terlalu menonjol – meskipun pertama kali memulai operasinya pada Juni 2019, ia berhasil tetap berada di bawah radar," ujar peneliti keamanan senior di Tim Riset dan Analisis Global (GReAT) Kaspersky, Giampaolo Dedola, dalam keterangan yang dikutip Kamis, 1 Juni.
"Memiliki seperangkat alat malware canggih, ia cukup produktif dalam serangannya terhadap pemerintah dan entitas diplomatik di Timur Tengah dan Asia Selatan," tambahnya.
Seperti yang ditunjukkan oleh penyelidikan Kaspersky, GoldenJackal menggunakan penginstal Skype palsu dan dokumen Word berbahaya sebagai vektor awal serangan mereka.
Penginstal Skype palsu merupakan file yang dapat dieksekusi dengan ukuran sekitar 400 MB. Itu adalah dropper yang berisi dua sumber daya, yakni Trojan JackalControl dan penginstal mandiri Skype for business yang sah.
Penggunaan pertama alat ini dilacak kembali ke 2020. Vektor infeksi lainnya adalah dokumen berbahaya yang menggunakan teknik injeksi template jarak jauh untuk mengunduh halaman HTML berbahaya, yang mengeksploitasi kerentanan Follina.
Dokumen itu diberi nama "Galeri Perwira yang Telah Menerima Penghargaan Nasional dan Asing.docx" dan muncul sebagai surat edaran resmi yang meminta informasi tentang perwira yang didekorasi oleh pemerintah Pakistan.
Deskripsi pertama tentang kerentanan Follina diterbitkan pada 29 Mei 2022 dan dokumen ini tampaknya telah diubah pada 1 Juni, dua hari setelah publikasi, yang pertama kali terdeteksi pada 2 Juni.
Lebih lanjut, dokumen tersebut dikonfigurasi untuk memuat objek eksternal dari situs web yang sah dan telah disusupi. Setelah objek eksternal diunduh, file yang dapat dieksekusi diluncurkan, yang berisi malware Trojan JackalControl.
JackalControl merupakan trojan utama, di mana penyerang dapat mengontrol mesin target dari jarak jauh melalui serangkaian perintah yang telah ditentukan.
Selama bertahun-tahun para penyerang telah mendistribusikan berbagai varian malware ini, misalnya beberapa menyertakan kode untuk memperkokoh pertahanan, yang lain dikonfigurasi untuk berjalan tanpa menginfeksi sistem. Mesin biasanya terinfeksi oleh komponen lain, seperti skrip batch.
Alat penting kedua yang biasanya digunakan oleh grup GoldenJackal adalah JackalSteal. Alat ini dapat digunakan untuk memantau drive USB yang dapat dilepas, remote shares, dan semua drive logis di sistem yang ditargetkan.
BACA JUGA:
Malware dapat berfungsi sebagai proses standar atau sebagai layanan. Itu tidak dapat mempertahankan persistensi, sehingga harus dipasang oleh komponen lain.
GoldenJackal juga menggunakan sejumlah alat tambahan, seperti JackalWorm, JackalPerInfo, dan JackalScreenWatcher. Peneliti Kaspersky menyatakan, mereka dikerahkan dalam kasus-kasus tertentu.
Perangkat itu ditujukan untuk mengendalikan mesin korban, mencuri kredensial mereka, mengambil tangkapan layar desktop, dan dengan spionase sebagai tujuan akhir.
"Karena beberapa implan malware masih dalam tahap pengembangan, penting bagi tim keamanan siber untuk mewaspadai kemungkinan serangan yang mungkin dilakukan oleh aktor terkait," ungkap Dedola.
"Kami berharap analisis yang kami lakukan akan membantu mencegah aktivitas berbahaya GoldenJackal,” imbuhnya.
Tag Terpopuler
#prabowo subianto #tahun baru #hari ibu #nataru #natalPopuler
