JAKARTA, ditphat.net – Pakar Kaspersky mengatakan mereka telah mengidentifikasi versi pintu belakang Loki yang sebelumnya tidak diketahui yang digunakan dalam serangkaian serangan siber terhadap 12 perusahaan Rusia.
Serangan siber ini terjadi di banyak industri, termasuk teknologi dan layanan kesehatan. Malware, yang ditemukan Kaspersky sebagai Backdoor.Win64.MLoki, adalah versi proksi rahasia dari protokol eksploitasi berbasis Mythic.
Loki mencapai komputer korban melalui email misterius yang berisi lampiran berbahaya yang diluncurkan oleh pengguna yang tidak menaruh curiga.
Setelah diinstal, Loki segera meluncurkan serangan luas pada sistem yang disusupi, seperti mengendalikan token akses Windows, pengkodean dalam sistem operasi, dan mentransfer file antara perangkat yang terinfeksi dan server resmi dan terkelola.
Server proxy Loki tidak mendukung tunneling, sehingga peretas atau penyerang menggunakan alat yang tersedia untuk umum seperti ngrok dan gTunnel untuk mengakses segmen jaringan pribadi.
Kaspersky juga menemukan bahwa dalam beberapa kasus, alat gTunnel telah dimodifikasi menggunakan goreflect untuk menjalankan kode berbahaya di memori komputer target, sehingga menghindari deteksi.
Saat ini data yang ada tidak mencukupi untuk menghubungkan Loki dengan kelompok serangan siber yang ada. Namun, analisis Kaspersky menunjukkan bahwa penyerang mendekati setiap target secara individual dengan hati-hati, dibandingkan mengandalkan template enkripsi email standar.
“Loki adalah contoh baru penyerang (peretas) yang menguji dan menerapkan berbagai teknik untuk tujuan jahat dan memodifikasinya untuk mencegah deteksi dan identifikasi. Kami melihat semakin banyak penyerang yang mengadopsi dan memodifikasi teknik ini untuk menyebarkan malware,” kata Arem Ushkov, peneliti di Kaspersky.
