IND | ENG
Awas Serangan Backdoor Tomiris! Mirip Malware yang Infeksi Orion SolarWinds

Ilustrasi | Foto: freepik.com

Awas Serangan Backdoor Tomiris! Mirip Malware yang Infeksi Orion SolarWinds
Andi Nugroho Diposting : Senin, 04 Oktober 2021 - 14:07 WIB

Cyberthreat.id – Perusahaan keamanan siber asal Rusia, Kaspersky, baru-baru ini menurunkan laporan tentang “pintu belakang” (backdoor) berjuluk “Tomiris”.

Menurut Kaspersky, perangkat lunak jahat (malware) tersebut dalam beberapa hal serupa dengan “Sunshuttle” alias GoldMax” yang dipakai geng hacker “DarkHalo” alias “Nobelium” yang meluncurkan serangan rantai pasokan ke perangkat lunak Orion milik SolarWinds akhir Desember 2020.

“Tugas utama Tomiris ialah mengirimkan malware tambahan ke mesin korban [yang telah terinfeksi],” tutur Kaspersky dalam unggahan di blog perusahaan, diakses Senin (4 Oktober 2021).

Dalam analisisnya, peneliti Kaspersky mendeteksi bahwa malware itu selalu berkomunikasi dengan server perintah dan kontrol (C&C) milik peretas, lalu mengunduh file yang dapat dieksekusi dari jarak jauh.

“Pakar kami juga menemukan varian [malware) pencuri file. Malware ini bisa memilih file terbaru dengan ekstensi tertentu (.doc, docx, .pdf, .rar, dan sebagainya), kemudian mengunggahnya ke server perintah dan kontrol (C&C milik peretas,” kata Kaspersky.

Karakteristik “Tomiris” yaitu dilengkapi dengan berbagai fitur untuk mengelabui perangkat lunak antivirus, misal, saat menyusup, malware tidak melakukan apa pun selama 9 menit. Penundaan inilah yang dimungkinkan untuk menipu mekanisme deteksi berbasis sandbox.

Apalagi, kata Kaspersky, alamat server C&C tidak dikodekan langsung di dalam “Tomiris”.

Cara Tomiris menginfeksi

Untuk mengirimkan backdoor, penjahat dunia maya menggunakan pembajakan Domain Name System(DNS hijacking) untuk mengarahkan lalu lintas dari server email organisasi korban ke situs jahat peretas.

Dengan begitu, peretas dapat memikat klien ke halaman yang terlihat seperti halaman login layanan email yang sebenarnya. Secara alami, ketika seseorang memasukkan kredensial di halaman palsu, para penjahat segera mendapatkan kredensial itu.

“Tentu saja, situs web itu terkadang meminta pengguna menginstal pembaruan keamanan agar berfungsi. Dalam hal ini, pembaruan sebenarnya adalah pengunduh untuk ‘Tomiris’,” tulis Kaspersky.

Namun, kata perusahaan, “Metode pengiriman malware di atas tidak akan berfungsi jika komputer yang mengakses antarmuka email web dilindungi oleh solusi keamanan yang tangguh,” katanya.[]

#tomiris   #solarwinds   #nobelium   #backdoor   #pintubelakang   #malware

Share:




BACA JUGA
Awas, Serangan Phishing Baru Kirimkan Keylogger yang Disamarkan sebagai Bank Payment Notice
Malware Manfaatkan Plugin WordPress Popup Builder untuk Menginfeksi 3.900+ Situs
CHAVECLOAK, Trojan Perbankan Terbaru
Paket PyPI Tidak Aktif Disusupi untuk Menyebarkan Malware Nova Sentinel
Penjahat Siber Persenjatai Alat SSH-Snake Sumber Terbuka untuk Serangan Jaringan