Cyberthreat.id - Serangan dunia maya yang sangat bertarget terhadap perusahaan IT Asia Timur melibatkan penyebaran malware khusus yang ditulis dalam bahasa Golang yang disebut RDStealer.

"Operasi itu aktif selama lebih dari satu tahun dengan tujuan akhir mengorbankan kredensial dan eksfiltrasi data," kata peneliti keamanan Bitdefender, Victor Vrabie, dalam laporan teknis yang dibagikan kepada The Hacker News.

Bukti yang dikumpulkan oleh firma cybersecurity Rumania menunjukkan bahwa kampanye tersebut dimulai pada awal 2022. Targetnya adalah perusahaan IT yang tidak ditentukan yang berlokasi di Asia Timur.

Pada fase awal, operasi mengandalkan trojan akses jarak jauh yang tersedia seperti AsyncRAT dan Cobalt Strike, sebelum beralih ke malware yang dipesan lebih dahulu pada akhir 2021 atau awal 2022 dalam upaya untuk menggagalkan deteksi.

Taktik penghindaran utama menyangkut penggunaan folder Microsoft Windows yang cenderung dikecualikan dari pemindaian oleh perangkat lunak keamanan (misalnya, System32 dan Program Files) untuk menyimpan muatan backdoor.

Salah satu sub-folder yang dimaksud adalah "C:\Program Files\Dell\CommandUpdate," yang merupakan direktori untuk aplikasi resmi Dell bernama Dell Command | Update.

Bitdefender mengatakan semua mesin yang terinfeksi selama insiden tersebut diproduksi oleh Dell, menunjukkan bahwa pelaku ancaman sengaja memilih folder ini untuk menyamarkan aktivitas berbahaya.

Garis penalaran ini didukung oleh fakta bahwa aktor ancaman mendaftarkan domain perintah-dan-kontrol (C2) seperti "dell-a[.]ntp-update[.]com" dengan tujuan menyatu dengan lingkungan target .

Kumpulan intrusi ditandai dengan penggunaan pintu belakang sisi server yang disebut RDStealer, yang berspesialisasi dalam mengumpulkan konten clipboard dan data keystroke dari host.

Namun yang membuatnya menonjol adalah kemampuannya untuk "memantau koneksi RDP [Remote Desktop Protocol] yang masuk dan membahayakan mesin jarak jauh jika pemetaan drive klien diaktifkan."

Jadi, ketika koneksi klien RDP baru terdeteksi, perintah dikeluarkan oleh RDStealer untuk mengekstraksi data sensitif, seperti riwayat penelusuran, kredensial, dan kunci pribadi dari aplikasi seperti mRemoteNG, KeePass, dan Google Chrome.

“Ini menyoroti fakta bahwa pelaku ancaman secara aktif mencari kredensial dan menyimpan koneksi ke sistem lain,” kata Marin Zugec dari Bitdefender dalam analisis kedua.

Terlebih lagi, klien RDP yang terhubung terinfeksi dengan malware khusus berbasis Golang lain yang dikenal sebagai Logutil untuk mempertahankan pijakan yang kuat di jaringan korban menggunakan teknik pemuatan samping DLL dan memfasilitasi eksekusi perintah.

Tidak banyak yang diketahui tentang aktor ancaman selain fakta bahwa ia telah aktif setidaknya sejak tahun 2020.

"Penjahat dunia maya terus berinovasi dan mengeksplorasi metode baru untuk meningkatkan keandalan dan kerahasiaan aktivitas jahat mereka," kata Zugec.

"Serangan ini berfungsi sebagai bukti meningkatnya kecanggihan serangan dunia maya modern, tetapi juga menggarisbawahi fakta bahwa pelaku ancaman dapat memanfaatkan kecanggihan baru mereka untuk mengeksploitasi teknologi lama yang diadopsi secara luas."[]