Ancaman SideWinder Meningkat, Serangan Meluas ke Timur Tengah dan Afrika

BeritaNasional.com -  Tim Riset dan Analisis Global Kaspersky (GReAT) telah mengidentifikasi bahwa kelompok APT SideWinder, memperluas jangkauannya ke Timur Tengah dan Afrika, menggunakan perangkat mata-mata baru yang dikenal sebagai StealerBot.

Dalam pemantauan berkelanjutan terhadap aktivitas APT, Kaspersky menemukan bahwa kampanye terbaru ini menargetkan entitas penting dan infrastruktur strategis di kawasan tersebut, dengan potensi untuk menyerang korban lainnya.

SideWinder, yang juga dikenal sebagai T-APT-04 atau RattleSnake, adalah salah satu kelompok APT paling aktif yang beroperasi sejak tahun 2012.

Selama bertahun-tahun, mereka telah menargetkan berbagai entitas militer dan pemerintah di negara-negara seperti Pakistan, Sri Lanka, Tiongkok, dan Nepal, serta berbagai sektor di Asia Selatan dan Asia Tenggara.

Dan baru-baru ini, Kaspersky mencatat gelombang serangan baru yang berdampak pada entitas strategis di Timur Tengah dan Afrika.

Perangkat StealerBot: Alat Canggih untuk Kegiatan Spionase

Selain memperluas jangkauan geografis, Kaspersky menemukan bahwa SideWinder menggunakan perangkat pasca-eksploitasi yang belum pernah terlihat sebelumnya, yaitu StealerBot.

Ini merupakan implan modular yang dirancang untuk kegiatan spionase, dan kini menjadi alat utama kelompok ini dalam melakukan serangan.

“StealerBot adalah alat mata-mata yang beroperasi secara tersembunyi, memungkinkan pelaku kejahatan siber untuk mengawasi sistem tanpa mudah terdeteksi. Alat ini menggunakan struktur modular, di mana setiap komponen memiliki fungsi tertentu. Modul-modul ini tidak tersimpan sebagai berkas di hard drive, sehingga sulit untuk dilacak. Modul dimuat langsung ke dalam memori. Inti dari StealerBot adalah ‘Orchestrator’, yang mengawasi semua operasi dan berkomunikasi dengan server perintah serta kontrol dari para pelaku kejahatan siber,” jelas Giampaolo Dedola, kepala peneliti keamanan di GReAT.

Aktivitas Berbahaya StealerBot

Dalam penyelidikan terbarunya, Kaspersky menemukan bahwa StealerBot melakukan berbagai aktivitas berbahaya, termasuk:

1. Menginstal malware tambahan

2. Mengambil tangkapan layar

3. Mencatat penekanan tombol

4. Mencuri kata sandi dari browser

5. Menyadap kredensial RDP (Remote Desktop Protocol)

6. Mengekstrak berkas dan banyak lagi

Kaspersky pertama kali melaporkan aktivitas kelompok ini pada tahun 2018. Metode infeksi utama mereka adalah melalui email spear-phishing yang mengandung dokumen berbahaya yang mengeksploitasi kerentanan Microsoft Office, serta menggunakan file LNK, HTML, dan HTA.

Dokumen tersebut seringkali mengandung informasi yang diambil dari situs web publik untuk memikat korban agar membuka file tersebut, yang tampak sah.

Kaspersky juga mencatat penggunaan beberapa keluarga malware dalam kampanye paralel, termasuk RAT yang dibuat khusus dan dimodifikasi, yang tersedia di pasar umum.