LABVIRAL.COM - Serangan siber saat ini tengah marak dibicarakan dan jadi permasalahan di banyak negara. Salah satu yang sering terjadi adalah Advanced persistent threat atau APT. Ini merupakan sebuah serangan siber tingkat lanjut yang bertujuan untuk mencuri data sensitif berjangka waktu lama.

Mengutip dari beberapa sumber, Perusahaan keamanan siber asal Rusia, Kaspersky, menyebut APT yang dilakukan oleh kelompok hacker GoldenJackal ini menyasar Timur Tengah dan Asia Selatan. Kaspersky menyebut bahwa kelompok hacker itu secara aktif memata-matai entitas diplomatik di Timur Tengah dan Asia Selatan.

Dalam laporannya, Kaspersky mencatat aksi ini dilakukan secara konsisten sejak pertengahan tahun 2020. Adapun fitur utama kelompok GoldenJackal adalah seperangkat alat khusus yang ditujukan untuk mengontrol mesin para korban mereka, menyebar ke seluruh sistem menggunakan drive yang dapat dilepas, dan menyelundupkan file tertentu.

Dari fitur utama ini, Kaspersky berkesimpulan para hacker memiliki motivasi utama spionase, dengan alat yang digunakan adalah penginstal Skype palsu dan dokumen Word berbahaya sebagai vektor awal serangan mereka.
Untuk diketahui, penginstal Skype palsu adalah file yang dapat dieksekusi dengan ukuran sekitar 400 MB. Itu adalah dropper yang berisi dua sumber daya, yaitu Trojan JackalControl dan penginstal mandiri Skype for business yang sah.

Penggunaan pertama alat ini dilacak kembali ke tahun 2020. Vektor infeksi lainnya adalah dokumen berbahaya yang menggunakan teknik injeksi template jarak jauh untuk mengunduh halaman HTML berbahaya, yang mengeksploitasi kerentanan Follina.

Baca Juga: Tips Cara Melindungi Wifi dari Serangan Hacker, Biar Ga Gampang dibobol

Dokumen itu diberi nama "Galeri Perwira yang Telah Menerima Penghargaan Nasional dan Asing.docx" dan muncul sebagai surat edaran resmi yang meminta informasi tentang perwira yang didekorasi oleh pemerintah Pakistan.
Deskripsi pertama tentang kerentanan Follina diterbitkan pada 29 Mei 2022 dan dokumen ini tampaknya telah diubah pada 1 Juni, dua hari setelah publikasi, dan pertama kali terdeteksi pada 2 Juni.

Dokumen tersebut dikonfigurasi untuk memuat objek eksternal dari situs web yang sah dan telah disusupi. Setelah objek eksternal diunduh, file yang dapat dieksekusi diluncurkan, yang berisi malware Trojan JackalControl.
Sekedar informasi, JackalControl adalah trojan utama dan memungkinkan penyerang untuk mengontrol mesin target dari jarak jauh melalui serangkaian perintah yang telah ditentukan.

Selama bertahun-tahun para hacker telah mendistribusikan berbagai varian malware ini, beberapa menyertakan kode untuk memperkokoh pertahanan, yang lain dikonfigurasi untuk berjalan tanpa menginfeksi sistem. Mesin biasanya terinfeksi oleh komponen lain, seperti skrip batch.