Bombardir Serangan Melalui Auto Start Melanda Lembaga Pemerintahan Kawasan Asia Timur

Mohammad Mamduh    •    Sabtu, 30 May 2015 10:40 WIB
trend micro
Bombardir Serangan Melalui Auto Start Melanda Lembaga Pemerintahan Kawasan Asia Timur
Ilustrasi: Nordvpn

Metrotvnews.com: Trend Micro mengabarkan, lembaga-lembaga pemerintah di kawasan timur Asia tengah dibombardir oleh serangan-serangan yang menarget server jaringan mereka. Penyerang yang ditengarai sudah paham dengan setiap topologi dan perangkat lunak milik target berhasil mengambil alih akses ke server-server yang menjadi target dan memasang malware di dalamnya.

Server-server yang telah berhasil diambil alih tersebut, kemudian tidak saja dijadikan sebagai gerbang utama untuk dilancarkannya serangan-serangan lainnya ke seluruh penjuru jaringan, tetapi juga dialihfungsikan menjadi server C&C. Ditengarai, jenis serangan seperti ini telah dilancarkan sejak 2014 lalu.

“Para penyerang berupaya untuk terus dapat menduduki jaringan tanpa mudah diusik-usik lagi dengan cara memodifikasi setiap aplikasi yang telah mereka instal di server. Beberapa file pada aplikasi tersebut—terutama yang berkaitan dengan produktivitas, keamanan, serta system utility apps—malah telah dipalsukan dan diubah supaya dapat digunakan untuk menyuntikkan file-file DLL yang berbahaya,” kata Country Manager Trend Micro Indonesia, Andreas Ananto Kagawa.

“Hebatnya lagi, aplikasi-aplikasi yang telah diubah tadi juga turut berjalan saat sistem dihidupkan atau system startup. Hal ini membuktikan bahwa aplikasi-aplikasi tersebut telah dimodifikasi dengan sedemikian rupa supaya aplikasi-aplikasi yang terinstal tersebut dipastikan juga dapat berjalan saat server mulai dioperasikan.”

Dari hasi investigasi, Trend Micro berhasil mengungkap lima aplikasi yang berhasil dimodifikasi oleh para
penyerang:

Citrix XenApp IMA Secure Service (IMAAdvanceSrv.exe)

EMC NetWorker (nsrexecd.exe)

HP System Management Homepage (vcagent.exe)

IBM BigFix Client (BESClient.exe)

VMware Tools (vmtoolsd.exe)

Dari hasil pantauan yang dilakukan Trend Micro, pada awalnya para penyerang tersebut mengincar dua server, kemudian berlanjut menembus jaringan guna menyuntikkan infeksi lebih lanjut. Hal ini terus mereka lakukan secara kontinu hingga awal 2015 dan berhasil menginfeksi lebih banyak server lagi. Beberapa server yang terjangkiti di antaranya adalah server-server pengelolaan.

Hal ini menandakan bahwa mereka telah berhasil menerobos akses sangat jauh hingga ke seluruh sistem di wilayah subnet yang dikelola di bawah server-server pengelolaan tersebut. Trend Micro sendiri belum mencium apa yang hendak dilakukan oleh para penyerang tersebut atas keberhasilan mereka dalam menerobos akses ke jaringan tersebut, namun ditengarai mereka memanfaatkan hal tersebut supaya mereka dapat terus menancapkan kaki mereka di jaringan dan terus dapat mencuri informasi-informasi di sana.



Para penyerang berhasil mengidentifikasi setiap aplikasi yang terpasang di server dan kemudian memodifikasinya untuk menjalankan kode-kode berbahaya. Tabel-tabel import pada setiap aplikasi yang menjadi sasaran serangan dimodifikasi dengan sedemikian rupa supaya memudahkan para penyerang untuk menjadikannya file referensi bagi file DLL tertentu yang berbahaya (nama masing-masing DLL bisa bermacam-macam. Dapat disesuaikan dengan nama aplikasi yang menjadi target mereka). Jadi, saat aplikasi yang telah termodifikasi tersebut dijalankan, DLL yang bermuatan malware tersebut juga secara otomatis akan turut dijalankan pula.

Tabel di bawah ini menunjukkan tentang referensi file-file terkait serangan yang berhasil diungkap oleh Trend Micro:



 


(ABE)

Kuasa Hukum Novanto Sebut Dakwaan KPK Bermasalah

Kuasa Hukum Novanto Sebut Dakwaan KPK Bermasalah

12 hours Ago

Pengacara terdakwa kasus korupsi KTP-el Setya Novanto, Maqdir Ismail menuding dakwaan milik KPK…

BERITA LAINNYA