Jakarta, ditphat.net – Tim Riset dan Analisis Global (GReAT) Kaspersky menemukan bahwa grup SideWinder APT memperluas operasi serangan sibernya di Timur Tengah dan Afrika, menggunakan alat spyware tak dikenal yang disebut “StealerBot”.
Sebagai bagian dari pemantauan berkelanjutan terhadap aktivitas APT, Kaspersky menemukan bahwa kampanye saat ini menargetkan entitas penting dan infrastruktur strategis di wilayah tersebut, sementara kampanye tersebut secara umum masih aktif dan mungkin menargetkan korban lainnya.
SideWinder, juga dikenal sebagai T-APT-04 atau RattleSnake, adalah salah satu grup APT paling produktif yang meluncurkan operasi serangan cyber pada tahun 2012.
Selama bertahun-tahun, kelompok ini terutama menargetkan entitas militer dan pemerintah di Pakistan, Sri Lanka, Tiongkok, Nepal, dan sektor serta negara lain di Asia Selatan dan Tenggara.
Baru-baru ini, Kaspersky menyadari gelombang serangan baru, yang telah menyebar hingga mempengaruhi entitas penting dan infrastruktur strategis di Timur Tengah dan Afrika.
Selain perluasan geografis, Kaspersky menemukan bahwa SideWinder menggunakan eksploitasi yang sebelumnya tidak diketahui yang disebut “StealerBot.” Ini adalah implan modular canggih yang dirancang khusus untuk kegiatan spionase dan saat ini digunakan oleh kelompok tersebut sebagai alat utama pasca-eksploitasi.
“Singkatnya, StealerBot adalah alat mata-mata tersembunyi yang memungkinkan penjahat dunia maya memata-matai sistem tanpa mudah terdeteksi,” kata kepala peneliti keamanan Kaspersky, Giampaolo Dedola.
Selama penyelidikan terbarunya, Kaspersky mengamati bahwa StealerBot melakukan beberapa aktivitas jahat, termasuk memasang malware tambahan, menangkap tangkapan layar, merekam penekanan tombol, mencuri kata sandi dari browser, mencegat kredensial RDP (Remote Desktop Protocol), dan mengekstraksi file.
Kaspersky pertama kali melaporkan aktivitas grup tersebut pada tahun 2018. Pelaku ditemukan mengandalkan email pencuri tombak sebagai metode utama infeksi, yang berisi dokumen berbahaya yang mengeksploitasi kerentanan Office dan terkadang mengeksploitasi file LNK, HTML, dan HTA yang ditemukan di arsip.
Dokumen tersebut sering kali berisi informasi yang diperoleh dari situs publik, yang digunakan untuk mengelabui korban agar membuka file tersebut dan meyakini bahwa file tersebut sah.