Para ahli telah mengidentifikasi kampanye cybercriminal, dijuluki Naikon, yang menargetkan komunikasi, minyak, pemerintah, media dan jenis organisasi lainnya dari Asia.
Para penjahat dunia maya bergantung pada RARSTONE Remote Access Tool (RAT), yang mirip dengan PlugX, untuk mengambil kontrol penuh dari komputer target mereka.
Laporan Trend Micro bahwa penyerang mengirimkan email tombak-phishing yang mengaku mengandung dokumen yang berkaitan dengan diskusi diplomatik di kawasan Asia-Pasifik.
Ketika dokumen yang melekat pada email dibuka, kerentanan pada Windows sepengendali dieksploitasi, dan RARSTONE didorong ke komputer korban. Sementara itu, sebuah dokumen umpan ditampilkan untuk menghindari menimbulkan kecurigaan.
Setelah menemukan dirinya pada sebuah perangkat, komponen backdoor di-download dari perintah dan kontrol (C & C) server yang langsung ke memori. Hal ini memungkinkan ancaman untuk tidak terdeteksi oleh teknologi pemindaian file berbasis klasik.
Tidak seperti tikus lainnya, RARSTONE memeriksa Registry Key Uninstall dan menggunakannya untuk mengetahui aplikasi apa saja yang diinstal pada komputer. Program-program yang mengganggu fungsi akan dihapus.
Selain itu, C & C komunikasi dilakukan melalui SSL untuk melindungi sambungan dan untuk memastikan lalu lintas berbahaya menyatu dengan lalu lintas yang sah.
Individu-individu di balik kampanye Naikon, dinamakan demikian karena "NOKIAN95/WEB" string agen pengguna yang telah diidentifikasi dalam serangan, ingin memastikan infrastruktur mereka sulit untuk menganalisa. Mereka menggunakan domain DNS dinamis atau pendaftar yang memiliki perlindungan privasi.
"Target serangan seperti ini biasanya merupakan bagian dari kampanye yang lebih luas dimaksudkan untuk tinggal di bawah radar dan mencuri informasi dari entitas sasaran," Maharlito Aquino, Trend Micro Ancaman analis, menjelaskan.
"Teknologi tradisional seperti hitam dan perimeter kontrol tidak cukup untuk mendeteksi atau memblokir komponen kampanye ini. Sebaliknya, perusahaan perlu untuk meningkatkan visibilitas dan kontrol atas jaringan mereka mereka dalam rangka untuk mengidentifikasi lalu lintas jaringan yang meragukan. "
0komentar:
Post a Comment