JAKARTA - Para ahli Kaspersky berhasil menemukan versi backdoor Loki baru, yang sebelumnya tidak diketahui dan telah digunakan dalam serangkaian serangan terarah terhadap sedikitnya 12 perusahaan di Rusia.
Menurut perusahaan keamanan siber global itu, serangan tersebut menargetkan berbagai industri, termasuk teknik dan industri kesehatan, menggunakan malware Backdoor.Win64.MLoki, versi agen pribadi dari kerangka kerja pasca eksploitasi sumber terbuka Mythic.
Loki menjangkau komputer korban melalui email phishing dengan lampiran berbahaya yang diluncurkan sendiri oleh pengguna yang tidak menaruh curiga.
Setelah terinstal, Loki memberi penyerang kemampuan ekstensif pada sistem yang disusupi, seperti mengelola token akses Windows, menyuntikkan kode ke dalam proses yang sedang berjalan, dan mentransfer file antara mesin yang terinfeksi dan server perintah dan kontrol.
"Popularitas kerangka kerja pasca eksploitasi sumber terbuka semakin meningkat, dan meskipun bermanfaat untuk meningkatkan keamanan infrastruktur, kami melihat penyerang semakin banyak mengadopsi dan memodifikasi kerangka kerja ini untuk menyebarkan malware," kata Artem Ushkov, pengembang penelitian di Kaspersky.
BACA JUGA:
Menurutnya, Loki adalah contoh terbaru dari penyerang yang menguji dan menerapkan berbagai kerangka kerja untuk tujuan berbahaya dan memodifikasinya untuk menghalangi deteksi dan atribusi.
Agen Loki sendiri tidak mendukung penyaluran lalu lintas, oleh karena itu penyerang menggunakan utilitas yang tersedia untuk umum seperti ngrok dan gTunnel untuk mengakses segmen jaringan pribadi.
Saat ini, tidak ada cukup data untuk mengaitkan Loki dengan kelompok pelaku ancaman yang sudah ada. Namun, analisis Kaspersky menunjukkan bahwa penyerang mendekati setiap target secara individual dengan hati-hati daripada mengandalkan template email phishing standar.