Sukses

Serangan Siber MontysThree Ancam Pelaku Bisnis dan Industri

Hacker memakai tools MontysThree untuk melancarkan serangan siber terhadap pelaku bisnis dan industri diberbagai bidang.

Liputan6.com, Jakarta - Tim peneliti di Kaspersky mendapati serangan terhadap sektor industri, jauh lebih sedikit dibandingkan serangan Advanced Persistent Threat (APT) terhadap diplomat atau aktor politik terkenal lainnya.

Meski lebih, bukan berarti serangan APT yang dilakukan oleh hacker tidak berbahaya dan mengancam pelaku bisnis di berbagai bidang tersebut.

Saat beraksi, pelaku kejahatan menggunakan berbagai teknik untuk menghindari deteksi dari pihak berwenang.

Salah satunya memakai tools--awalnya dinamai MT3 oleh pembuat malware, dan akhirnya dijuluki sebagai MontysThree oleh Kaspersky.

Dengan tools ini, pelaku dapat meng-hosting komunikasi dengan server kontrol di layanan cloud publik.

Lalu, pelaku akan dengan sengaja menyembunyikan modul berbahaya utama menggunakan steganografi. Dikutip dari keterangan resmi Kaspersky, Jumat (9/10/2020).

 

2 dari 4 halaman

Cara Kerja MontysThree

Ilustrasi Hacker (iStockPhoto)

Untuk melakukan spionase, MontysThree menggunakan program malware yang terdiri dari empat modul.

Modul pertama adalah pemuat (loader) yang awalnya disebarkan menggunakan file RAR SFX (arsip yang diekstrak sendiri).

Biasanya, file ini berisikan nama yang terkait dengan daftar kontak karyawan, dokumentasi teknis, dan hasil analisis medis untuk mengelabui karyawan agar mengunduh file — semacam teknik spear phishing pada umumnya.

Pemuat memiliki tugas utama memastikan malware tidak terdeteksi di sistem; untuk melakukan ini, ia menerapkan teknik yang dikenal sebagai steganografi.

 

3 dari 4 halaman

Samarkan File

Ilustrasi Hacker (iStockPhoto)

Steganografi digunakan oleh aktor ancaman untuk menyembunyikan fakta bahwa data sedang dipertukarkan.

Dalam kasus MontysThree, muatan berbahaya utama disamarkan sebagai file bitmap (format untuk menyimpan gambar digital).

Jika perintah benar dimasukkan, loader akan menggunakan algoritme yang dibuat khusus untuk mendekripsi konten dari larik piksel dan menjalankan muatan berbahaya.

 

4 dari 4 halaman

File Dienkripsi

 

Muatan berbahaya utama menggunakan teknik enkripsi algoritma RSA untuk mengenkripsi komunikasi dengan server kontrol dan mendekripsi "tugas" penting dari malware.

Informasi yang dikumpulkan dan komunikasi lainnya dengan server kontrol kemudian dihosting di layanan cloud publik seperti Google, Microsoft, dan Dropbox.

Hal ini membuat lalu lintas komunikasi sulit untuk dideteksi karena berbahaya, dan karena tidak ada antivirus yang memblokir layanan ini, maka dipastikan server kontrol dapat menjalankan perintah tanpa gangguan.

(Ysl/Why)