JAKARTA, BERNAS.ID – ToddyCat adalah kelompok APT canggih yang relatif baru. Kegiatan kelompok ini pertama kali dideteksi oleh penelity Kaspersky pada Desember 2020 ketika kelompok ini melancarkan sejumlah serangan ke server Microsoft Exchange korbannya.
Bulan Februari-Maret 2021, Kaspersky melihat adanya eskalasi pesat saat ToddyCat mulai memanfaatkan kerentanan ProxyLogon pada server Microsoft Exchange untuk menyerang berbagai organisasi di Eropa dan Asia.
Sejak September 2021, kelompok ini mengubah perhatian ke mesin desktop yang berhubungan dengan entitas pemerintahan dan diplomatik di Asia. Kelompok ini terus memperbarui persenjataannya dan tetap melanjutkan serangan di tahun 2022.
Baca Juga Militer Rusia Latihan Tembak Rudal Nuklir
Meskipun vektor awal infeksi, atau metode ekploitasi, dari serangan terbaru mereka belum diketahui, para peneliti Kaspersky telah melakukan analisis menyeluruh terhadap malware yang digunakan dalam serangan. ToddyCat menggunakan Samurai Backdoor dan Ninja Trojan, dua tools mata-mata cyber canggih yang didesain untuk menembus jauh ke dalam jaringan target sasaran, sambil terus mempertahankan mode terselubung mereka.
Samurai adalah backdoor modular; ini adalah komponen tingkat akhir dari serangan yang memungkinkan pelaku mengelola sistem jarak jauh dan bergerak di samping atau di sisi jaringan yang disusupi. Malware ini menonjol karena menggunakan beberapa control flow dan case statement untuk melompat di antara instruksi, sehingga sangat sulit untuk melacak urutan tindakan di dalam kode.
Selain itu, malware ini digunakan untuk meluncurkan malware baru yang disebut Ninja Trojan, tool kolaboratif kompleks yang memungkinkan beberapa operator bekerja secara bersamaan di mesin yang sama.
Baca Juga Penembakan Dan Ledakan Bom Mewarnai Pilpres Filipina
Ninja Trojan juga menyediakan set perintah yang besar, yang memungkinkan pelaku untuk mengontrol sistem jarak jauh sambil menghindari pendeteksian. Trojan ini biasanya dimasukkan (load) ke dalam memori perangkat dan diluncurkan oleh berbagai loaders. Ninja Trojan memulai operasinya dengan mengambil parameter konfigurasi dari payload terenkripsi, lalu menyusup jauh ke jaringan yang diinfeksinya.
Kemampuan malware ini antara lain mengelola sistem file, memulai reverse shell, meneruskan paket TCP, dan bahkan mengambil alih jaringan dalam jangka waktu tertentu, yang bisa dikonfigurasi secara dinamis menggunakan perintah tertentu.
Malware ini juga menyerupai beberapa kerangka post-exploitation ternama, misalnya CobaltStrike, dengan fitur Ninja yang memungkinkan malware ini membatasi jumlah koneksi langsung dari jaringan yang disasar ke sistem perintah dan kendali (command and control) jarak jauh tanpa akses internet.
Selain itu, malware ini bisa mengontrol indikator HTTP dan menyamarkan trafik berbahaya ke dalam permintaan HTTP sehingga terlihat aman dengan memodifikasi header HTTP dan path URL. Kemampuan ini membuat Ninja Trojan sangat tersembunyi.
“ToddyCat adalah kelompok ancaman canggih dengan kemampuan teknis tinggi, mampu menghindari pendeteksian, dan menyusup ke organisasi tingkat tinggi. Terlepas dari jumlah loader dan serangan yang ditemukan selama setahun terakhir, kami masih belum memiliki pandangan lengkap terkait operasi dan taktik mereka. Karakteristik penting lain dari ToddyCat adalah bahwa ia fokus pada kemampuan malware canggih-Ninta Trojan disebut demikian karena kemampuannya- yang sulit dideteksi dan oleh karena itu sulit dihentikan. Cara terbaik untuk menghadapi ancaman seperti ini adalah dengan menggunakan pertahanan berlapis, yang memberi informasi tentang aset internal dan selalu up-to-date dengan intelijen ancaman terbaru,” terang Giampaolo Dedola, pakar keamanan Kaspersky. (*/jat)
