Sasaran Tingkat Tinggi dengan Malware Baru, Apa Itu ToddyCat?

ToddyCat adalah kelompok APT canggih yang relatif baru. Kegiatan kelompok ini pertama kali dideteksi oleh penelity Kaspersky pada Desember 2020 ketika kelompok ini melancarkan sejumlah serangan ke server Microsoft Exchange sebagai korbannya.

Melansir dari keterangan tertulisnya, Senin (27/6/2022), pada Februari–Maret 2021, Kaspersky melihat adanya eskalasi pesat saat ToddyCat mulai memanfaatkan kerentanan ProxyLogon pada server Microsoft Exchange untuk menyerang berbagai organisasi di Eropa dan Asia. Sejak September 2021, kelompok ini mengubah perhatian ke mesin desktop yang berhubungan dengan entitas pemerintahan dan diplomatik di Asia.

Kelompok ini terus memperbarui persenjataannya dan tetap melanjutkan serangan di tahun 2022. Meskipun vektor awal infeksi, atau metode ekploitasi, dari serangan terbaru mereka belum diketahui, para peneliti Kaspersky telah melakukan analisis menyeluruh terhadap malware yang digunakan dalam serangan.

Baca Juga: Ada Permintaan Tinggi di Dark Web, Penjahat Siber Jual Akses Data Perusahaan sampai Rp 60 Juta

ToddyCat menggunakan Samurai Backdoor dan Ninja Trojan, dua tools mata-mata siber yang didesain untuk menembus jauh ke dalam jaringan target sasaran, sambil terus mempertahankan mode terselubung mereka. Samurai adalah backdoor modular dengan komponen tingkat akhir dari serangan yang memungkinkan pelaku mengelola sistem jarak jauh dan bergerak di samping atau di sisi jaringan yang disusupi.

Malware ini menonjol karena menggunakan beberapa control flow dan case statement untuk melompat di antara instruksi, sehingga sangat sulit untuk melacak urutan tindakan di dalam kode. Selain itu, malware ini digunakan untuk meluncurkan malware baru yang disebut Ninja Trojan, tool kolaboratif kompleks yang memungkinkan beberapa operator bekerja secara bersamaan di mesin yang sama.

Ninja Trojan juga menyediakan set perintah yang besar, yang memungkinkan pelaku untuk mengontrol sistem jarak jauh sambil menghindari pendeteksian. Trojan ini biasanya dimasukkan (load) ke dalam memori perangkat dan diluncurkan oleh berbagai loaders. Ninja Trojan memulai operasinya dengan mengambil parameter konfigurasi dari payload terenkripsi, lalu menyusup jauh ke jaringan yang diinfeksinya. Kemampuan malware ini antara lain mengelola sistem file, memulai reverse shell, meneruskan paket TCP, dan bahkan mengambil alih jaringan dalam jangka waktu tertentu, yang bisa dikonfigurasi secara dinamis menggunakan perintah tertentu.

Malware ini juga menyerupai beberapa kerangka post-exploitation ternama, misalnya CobaltStrike, dengan fitur Ninja yang memungkinkan malware ini membatasi jumlah koneksi langsung dari jaringan yang disasar ke sistem perintah dan kendali (command and control) jarak jauh tanpa akses internet. Selain itu, malware ini bisa mengontrol indikator HTTP dan menyamarkan trafik berbahaya ke dalam permintaan HTTP sehingga terlihat aman dengan memodifikasi header HTTP dan path URL. Kemampuan ini membuat Ninja Trojan sangat tersembunyi.

Pakar keamanan Kaspersky, Giampaolo Dedola menjelaskan ToddyCat adalah kelompok ancaman canggih dengan kemampuan teknis tinggi, mampu menghindari pendeteksian, dan menyusup ke organisasi tingkat tinggi.

Terlepas dari jumlah loader dan serangan yang ditemukan selama setahun terakhir, Giampaolo mengatakan masih belum memiliki pandangan lengkap terkait operasi dan taktik mereka.

"Karakteristik penting lain dari ToddyCat adalah bahwa ia fokus pada kemampuan malware canggih, Ninja Trojan disebut demikian karena kemampuannya yang sulit dideteksi dan oleh karena itu sulit dihentikan. Cara terbaik untuk menghadapi ancaman seperti ini adalah dengan menggunakan pertahanan berlapis, yang memberi informasi tentang aset internal dan selalu up-to-date dengan intelijen ancaman terbaru,” terang Giampaolo.