Sasaran Tingkat Tinggi dengan Malware Baru, Apa Itu ToddyCat?

ToddyCat adalah kelompok APT canggih yang relatif baru. Kegiatan kelompok ini pertama kali dideteksi oleh penelity Kaspersky pada Desember 2020 ketika kelompok ini melancarkan sejumlah serangan ke server Microsoft Exchange sebagai korbannya.

Melansir dari keterangan tertulisnya, Senin (27/6/2022), pada Februari–Maret 2021, Kaspersky melihat adanya eskalasi pesat saat ToddyCat mulai memanfaatkan kerentanan ProxyLogon pada server Microsoft Exchange untuk menyerang berbagai organisasi di Eropa dan Asia. Sejak September 2021, kelompok ini mengubah perhatian ke mesin desktop yang berhubungan dengan entitas pemerintahan dan diplomatik di Asia.

Kelompok ini terus memperbarui persenjataannya dan tetap melanjutkan serangan di tahun 2022. Meskipun vektor awal infeksi, atau metode ekploitasi, dari serangan terbaru mereka belum diketahui, para peneliti Kaspersky telah melakukan analisis menyeluruh terhadap malware yang digunakan dalam serangan.

Baca Juga: Ada Permintaan Tinggi di Dark Web, Penjahat Siber Jual Akses Data Perusahaan sampai Rp 60 Juta

ToddyCat menggunakan Samurai Backdoor dan Ninja Trojan, dua tools mata-mata siber yang didesain untuk menembus jauh ke dalam jaringan target sasaran, sambil terus mempertahankan mode terselubung mereka. Samurai adalah backdoor modular dengan komponen tingkat akhir dari serangan yang memungkinkan pelaku mengelola sistem jarak jauh dan bergerak di samping atau di sisi jaringan yang disusupi.

Malware ini menonjol karena menggunakan beberapa control flow dan case statement untuk melompat di antara instruksi, sehingga sangat sulit untuk melacak urutan tindakan di dalam kode. Selain itu, malware ini digunakan untuk meluncurkan malware baru yang disebut Ninja Trojan, tool kolaboratif kompleks yang memungkinkan beberapa operator bekerja secara bersamaan di mesin yang sama.

Ninja Trojan juga menyediakan set perintah yang besar, yang memungkinkan pelaku untuk mengontrol sistem jarak jauh sambil menghindari pendeteksian. Trojan ini biasanya dimasukkan (load) ke dalam memori perangkat dan diluncurkan oleh berbagai loaders. Ninja Trojan memulai operasinya dengan mengambil parameter konfigurasi dari payload terenkripsi, lalu menyusup jauh ke jaringan yang diinfeksinya. Kemampuan malware ini antara lain mengelola sistem file, memulai reverse shell, meneruskan paket TCP, dan bahkan mengambil alih jaringan dalam jangka waktu tertentu, yang bisa dikonfigurasi secara dinamis menggunakan perintah tertentu.