Jakarta, PCplus – Para ahli di Kaspersky telah mengidentifikasi versi backdoor Loki yang sebelumnya tidak diketahui. Ia digunakan dalam serangkaian serangan terarah terhadap setidaknya 12 perusahaan di Rusia. Serangan ini terjadi di berbagai industri, termasuk teknik dan kesehatan. Malware ini, yang dideteksi Kaspersky sebagai Backdoor.Win64.MLoki, adalah versi pribadi dari kerangka kerja pascaeksploitasi sumber terbuka Mythic.
Baca Juga: Kaspersky Lab Temukan (lagi) Backdoor Mac OS X
Loki menyusup ke komputer korban melalui email phishing dengan lampiran berbahaya yang dibuka oleh pengguna yang tidak curiga. Setelah terinstal, Loki memberikan penyerang kemampuan luas pada sistem yang disusupi. Beberapa hal yang bisa dilakukan penyerang antara lain mengelola token akses Windows, menyuntikkan kode ke dalam proses yang sedang berjalan, dan mentransfer file antara mesin yang terinfeksi dan server perintah dan kontrol.
Modifikasi kerangka kerja sumber terbuka
“Popularitas kerangka kerja pascaeksploitasi sumber terbuka semakin meningkat. Meskipun bermanfaat untuk meningkatkan keamanan infrastruktur, kami melihat penyerang semakin banyak mengadopsi dan memodifikasi kerangka kerja ini untuk menyebarkan malware,” kata Artem Ushkov, pengembang penelitian di Kaspersky. “Loki adalah contoh terbaru dari penyerang yang menguji dan menerapkan berbagai kerangka kerja untuk tujuan berbahaya. Dan memodifikasinya untuk menghalangi deteksi dan atribusi,” tambah Artem.
Agen Loki sendiri tidak mendukung penyaluran lalu lintas, sehingga penyerang menggunakan utilitas yang tersedia untuk umum seperti ngrok dan gTunnel untuk mengakses segmen jaringan pribadi. Kaspersky menemukan bahwa, dalam beberapa kasus, utilitas gTunnel dimodifikasi menggunakan goreflect untuk mengeksekusi kode berbahaya di memori komputer target, sehingga terhindar dari deteksi.
Saat ini, tidak ada cukup data untuk mengaitkan backdoor Loki dengan kelompok pelaku ancaman yang sudah ada. Namun, analisis Kaspersky menunjukkan bahwa penyerang mendekati setiap target secara individual dengan hati-hati daripada mengandalkan template email phishing standar.
Untuk melihat laporan lengkap dari Kaspersky tentang backdoor Loki ini, kamu bisa membacanya di https://securelist.com/loki-agent-for-mythic/113596/