By konkeproject 
JAKARTA – Pakar Kaspersky telah mengidentifikasi versi baru dari backdoor Loki yang sebelumnya tidak diketahui. Malware tersebut digunakan dalam serangkaian serangan yang ditargetkan terhadap setidaknya 12 perusahaan Rusia di berbagai sektor, termasuk teknik dan perawatan kesehatan.
Apa itu Loki Pintu Belakang? Loki disebarkan melalui email phishing yang berisi lampiran berbahaya.
Setelah dieksekusi, penyerang dapat mengontrol sistem yang terinfeksi, mengontrol token akses Windows, memasukkan kode ke dalam proses yang dapat dieksekusi, dan mentransfer file antara mesin yang terinfeksi dan server perintah-dan-kontrol.
Meningkatnya penggunaan kerangka kerja sumber terbuka oleh penyerang “Meningkatnya penggunaan kerangka kerja sumber terbuka oleh penyerang menimbulkan kekhawatiran,” kata Artem Ushkov, pengembang penelitian Kaspersky. msgstr “Loki menunjukkan bagaimana alat ini dapat dimodifikasi untuk menghindari deteksi dan atribusi.”
Cara Kerja Loki Agen Loki sendiri tidak mendukung penerowongan lalu lintas, sehingga penyerang menggunakan layanan yang tersedia untuk umum seperti ngrok dan gTunnel untuk membobol jaringan pribadi. Kaspersky menemukan bahwa dalam beberapa kasus, utilitas gTunnel telah dimodifikasi menggunakan goreflect untuk mengeksekusi kode berbahaya di memori komputer target, sehingga lebih sulit untuk dideteksi.
Serangan Bertarget Meskipun Kaspersky tidak mengaitkan Loki dengan kelompok ancaman tertentu, analisis mereka menunjukkan bahwa penyerang menyesuaikan setiap email phishing dengan sasaran mereka. Hal ini menunjukkan bahwa serangan ini tepat sasaran dan terencana.
Berikut beberapa tip untuk melindungi organisasi Anda dari ancaman seperti Loki:
– Jangan memaparkan layanan desktop jarak jauh, seperti RDP, ke jaringan publik kecuali benar-benar diperlukan, dan selalu gunakan kata sandi yang kuat.
– Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya diperbarui, karena eksploitasi perangkat lunak jenis ini adalah vektor umum infeksi ransomware. Selalu perbarui aplikasi klien.
– Fokus pada strategi pertahanan untuk mendeteksi pergerakan lateral dan transfer data ke Internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi tautan kejahatan dunia maya.
– Cadangkan data secara teratur. Pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat.
– Gunakan intelijen ancaman terbaru untuk mempelajari TTP terbaru yang digunakan oleh pelaku ancaman.