Waspada LuminousMoth, Serangan Siber yang Menarget Entitas Pemerintah

 

Waspada LuminousMoth, Serangan Siber yang Menarget Entitas Pemerintah

Pakar keamanan siber Kaspersky telah menemukan kampanye ancaman persisten canggih (APT) yang langka dan berskala luas menargetkan para pengguna di Asia Tenggara, terutama Myanmar dan Filipina. Kaspersky mengidentifikasi sekitar 100 korban di Myanmar dan 1.400 di Filipina, beberapa di antaranya merupakan entitas pemerintah.

Infeksi awal terjadi melalui email spear-phishing yang berisi dokumen Word berbahaya setelah diunduh di satu sistem, malware kemudian dapat menyebar ke host lain melalui drive USB yang dapat dilepas. Kampanye APT tingkat lanjut tersebut dikatakan sangat bertarget.

Kelompok aktivitas ini dijuluki LuminousMoth dan telah melakukan serangan spionase siber terhadap entitas pemerintah setidaknya sejak Oktober 2020 lalu. Meskipun awalnya memusatkan perhatian mereka pada negara Myanmar, para penyerang sejak itu mengalihkan fokus mereka ke Filipina dan tidak menutup kemungkinan menyerang negara lain.

Mereka biasanya mendapatkan pijakan awal dalam sistem melalui email spear-phishing dengan tautan unduhan Dropbox. Setelah diklik, tautan ini mengunduh arsip RAR yang disamarkan sebagai dokumen Word yang ternyata berisi muatan berbahaya.

Setelah diunduh pada sistem, malware mencoba menginfeksi host lain dengan menyebar melalui drive USB yang dapat dilepas. Apabila drive ditemukan, malware kemudian membuat direktori tersembunyi di drive, dan selanjutnya memindahkan seluruh file korban, bersama dengan executable berbahaya.

Malware ini juga memiliki dua alat pasca-eksploitasi yang pada gilirannya dapat digunakan untuk gerakan lateral. Salah satunya terdiri dari Zoom versi palsu dan yang lainnya mencuri cookie dari browser Chrome.

Setelah berada di perangkat, LuminousMoth melanjutkan untuk mengekstrak data ke server command and control (C2). Untuk target di Myanmar, server C2 ini sering kali merupakan domain yang meniru outlet berita terkenal.

Pakar Kaspersky mengaitkan LuminousMoth dengan kelompok ancaman HoneyMyte, aktor ancaman berbahasa Tiongkok yang terkenal, sudah lama berdiri, dengan tingkat kepercayaan diri sedang hingga tinggi. HoneyMyte biasanya memiliki minat yang tinggi untuk mengumpulkan intelijen geopolitik dan ekonomi di Asia dan Afrika.

“Kumpulan aktivitas baru ini mungkin menunjukkan tren yang telah kita saksikan sepanjang tahun ini: pelaku ancaman berbahasa Tiongkok kembali melengkapi persenjataan mereka dan memproduksi implan malware baru dan tidak dikenal,” komentar Mark Lechtik, Peneliti Keamanan Senior dengan Global Research and Analysis Team (GReAT) Kaspersky.

Dia melanjutkan, skala besar serangan yang terjadi sebenarnya cukup langka. Menjadi menarik juga bahwa kita menyaksikan lebih banyak serangan di Filipina daripada di Myanmar.

“Ini mungkin karena penggunaan drive USB sebagai mekanisme penyebaran atau kemungkinan vektor infeksi lain yang belum kami ketahui digunakan di Filipina,” tambah Aseel Kayal, Peneliti Keamanan di GREAT.

Dia mengaku telah melihat peningkatan aktivitas oleh aktor ancaman berbahasa Tiongkok tahun lalu, dan kemungkinan besar ini tidak menjadi aksi yang terakhir dari LuminousMoth. Selain itu, ada kemungkinan besar grup tersebut akan mulai mempertajam perangkatnya lebih lanjut.

Agar tetap aman dari kampanye ancaman tingkat lanjut seperti LuminousMoth, pakar Kaspersky merekomendasikan perusahaan atau penyelenggara pemerintahan untuk memberi staf pelatihan kebersihan keamanan siber dasar, karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya.

Selain itu, untuk menghindar dari bahaya malware ini, wajib juga untuk melakukan audit keamanan siber terhadap jaringan dan memperbaiki kelemahan yang ditemukan di perimeter atau di dalam jaringan. Yang bisa dilakukan juga adalah menginstal solusi anti-APT dan EDR, memungkinkan penemuan dan deteksi ancaman, investigasi, dan kemampuan perbaikan insiden yang tepat waktu.

sumber:

https://www.jawapos.com/oto-dan-tekno/08/08/2021/waspada-luminousmoth-serangan-siber-yang-menarget-entitas-pemerintah/

Comments