Waspada! Malware SalmonSlalom serang industri di Asia Pasifik lewat berkas pajak palsu

Belakangan ini diketahui ada serangan siber yang menargetkan organisasi industri di kawasan Asia Pasifik. Sebelumnya, serangan yang menargetkan industri terjadi di negara-negara di wilayah Eropa dan sekitarnya.

Adalah Kaspersky ICS CERT yang berhasil mengidentifikasi kampanye serangan siber tersebut. Serangan ini menggunakan layanan cloud yang sah untuk mengelola malware dan menerapkan skema pengiriman malware multi-tahap yang rumit. 

Melalui pendekatan ini, para penyerang berhasil menyebarkan malware dalam jaringan organisasi korban, memasang alat administrasi jarak jauh, serta mencuri dan menghapus informasi rahasia tanpa terdeteksi korban.

Kampanye ini menyasar lembaga pemerintah dan organisasi industri di beberapa negara, termasuk Taiwan, Malaysia, Tiongkok, Jepang, Thailand, Hong Kong, Korea Selatan, Singapura, Filipina, dan Vietnam. Indonesia masih belum terdeteksi hingga berita ini dibuat.

Para penyerang menggunakan email phishing dan aplikasi perpesanan seperti WeChat dan Telegram untuk mengirimkan arsip zip berisi malware yang disamarkan sebagai dokumen pajak. Setelah berhasil masuk ke sistem, malware FatalRAT diinstal melalui prosedur multi-tahap yang kompleks.

Serangan ini memiliki kemiripan dengan kampanye sebelumnya yang menggunakan Trojan akses jarak jauh (RAT) seperti Gh0st RAT, SimayRAT, Zegost, dan FatalRAT. Namun, kali ini metode dan teknik yang digunakan lebih canggih serta dirancang khusus untuk menargetkan pengguna berbahasa Mandarin. 

Tak ketinggalan, para penyerang juga memanfaatkan jaringan pengiriman konten cloud (CDN) myqcloud dari Tiongkok dan layanan Youdao Cloud Notes untuk mendistribusikan malware secara dinamis.

Kaspersky menyebut kampanye ini sebagai SalmonSlalom, menggambarkan bagaimana para pelaku ancaman berusaha melewati pertahanan siber dengan cara yang kompleks, mirip dengan ikan salmon yang berenang melawan arus dan melewati rintangan. 

Peretas menghindari deteksi dengan mengubah server kontrol dan muatan malware secara berkala, menempatkan file berbahaya di sumber daya web yang sah, mengeksploitasi kerentanan aplikasi, serta menggunakan perangkat lunak yang sah untuk meluncurkan malware dengan metode enkripsi tingkat lanjut.

Menurut Evgeny Goncharov, Kepala Kaspersky ICS CERT, kampanye ini menunjukkan bagaimana metode serangan yang relatif sederhana namun efektif dapat menembus sistem keamanan organisasi industri, termasuk di lingkungan teknologi operasional (OT). 

Oleh karena itu, organisasi perlu meningkatkan kesadaran dan langkah-langkah keamanan mereka untuk melindungi aset dan data dari ancaman siber yang semakin canggih.

Meskipun pelaku serangan ini belum dikaitkan dengan kelompok tertentu, penggunaan layanan dan antarmuka berbahasa Mandarin secara konsisten, serta bukti teknis lainnya, mengindikasikan kemungkinan keterlibatan aktor ancaman berbahasa Mandarin. Untuk menghadapi ancaman ini, 
Kaspersky merekomendasikan beberapa langkah mitigasi, antara lain:

- Mengaktifkan autentikasi dua faktor untuk masuk ke konsol administrasi dan antarmuka web keamanan.
- Memastikan solusi keamanan yang dikelola secara terpusat telah diperbarui dan aktif di semua sistem.
- Mengaktifkan perlindungan yang mencegah penghentian atau penghapusan komponen keamanan tanpa izin administrator.
- Memastikan solusi keamanan menerima informasi ancaman terkini dari sumber terpercaya seperti Kaspersky Security Network.
- Memperbarui sistem operasi dan aplikasi ke versi terbaru serta menginstal patch keamanan terkini.
- Mengimplementasikan sistem SIEM seperti Kaspersky Unified Monitoring and Analysis Platform.
- Memanfaatkan solusi EDR/XDR/MDR untuk memantau hubungan antarproses dan mengidentifikasi eksploitasi biner sah oleh malware.

Dengan menerapkan langkah-langkah ini, organisasi dapat memperkuat sistem keamanan mereka dan mengurangi risiko serangan siber yang semakin berkembang di kawasan Asia-Pasifik.