Pada awal tahun 2025, Tim Riset dan Analisis Global Kaspersky (GReAT) mengidentifikasi kampanye baru oleh APT ‘Mysterious Elephant’. Kelompok ini terutama menargetkan entitas pemerintahan dan organisasi urusan luar negeri (foreign affairs) di seluruh kawasan Asia Pasifik, dengan fokus pada Pakistan, Bangladesh, Afghanistan, Nepal, Sri Lanka, dan negara-negara lainnya. Para penyerang bertujuan untuk mencuri informasi yang sangat sensitif, termasuk dokumen, gambar, hingga berkas arsip, dengan data WhatsApp yang ditargetkan untuk dieksfiltrasi.
Kampanye kelompok ini di tahun 2025 menandai perubahan signifikan dalam TTP mereka: para penyerang telah beralih ke kombinasi alat yang dibuat khusus dan sumber terbuka untuk mencapai tujuan mereka. Aktor ancaman sekarang menggunakan kombinasi kit eksploitasi, email spear-phishing yang dipersonalisasi, dan dokumen berbahaya, menyesuaikan setiap serangan untuk korban tertentu guna mendapatkan akses awal. Setelah berada di dalam jaringan, aktor ancaman menggunakan berbagai alat dan teknik untuk meningkatkan hak istimewa, bergerak secara lateral, dan mengeksfiltrasi data sensitif.
Skrip PowerShell membentuk pondasi operasi Mysterious Elephant, yang memungkinkan kelompok tersebut untuk mengeksekusi perintah, menyebarkan malware tambahan, dan mempertahankan persistensi pada sistem yang telah disusupi. Skrip ini menggunakan alat dan utilitas sistem yang sah untuk melakukan operasi berbahaya.
Salah satu alat utama dalam gudang senjata kelompok ini adalah BabShell, sebuah reverse shell yang memberikan penyerang akses langsung ke mesin yang terinfeksi. Setelah dieksekusi, alat ini mengumpulkan informasi sistem penting termasuk nama pengguna, nama komputer, dan alamat MAC untuk mengidentifikasi target secara unik. BabShell juga berfungsi sebagai landasan peluncuran untuk modul-modul canggih seperti MemLoader HidenDesk, yang mengeksekusi muatan berbahaya di dalam memori sambil memanfaatkan enkripsi dan kompresi untuk menghindari deteksi.
Kampanye ini khususnya terkenal karena fokusnya pada pencurian data WhatsApp. Para penyerang telah mengembangkan modul khusus yang mampu mengekstrak file yang dibagikan melalui aplikasi, termasuk dokumen sensitif, foto, dan arsip.
“Infrastruktur penyerang dibangun untuk kerahasiaan dan ketahanan, menggunakan jaringan domain dan alamat IP, rekaman DNS wildcard, VPS, dan hosting cloud. Rekaman DNS wildcard memungkinkan kelompok tersebut menghasilkan subdomain unik untuk setiap permintaan, meningkatkan skala operasi dengan cepat, dan mempersulit pelacakan oleh tim keamanan,” komentar Noushin Shabab, kepala peneliti keamanan di Kaspersky GReAT. “Memahami TTP kelompok, berbagi intelijen ancaman, dan menerapkan langkah-langkah penanggulangan yang efektif sangat penting untuk mengurangi risiko keberhasilan serangan dan melindungi informasi sensitif agar tidak jatuh ke tangan yang salah. Organisasi juga harus menerapkan langkah-langkah keamanan yang kuat, termasuk pembaruan perangkat lunak secara berkala, pemantauan jaringan, dan pelatihan karyawan.”
Baca laporan selengkapnya di Securelist.com
Untuk memitigasi atau mencegah serangan serupa, organisasi disarankan untuk mengikuti praktik terbaik berikut:
Pastikan agen keamanan dikerahkan di semua stasiun kerja dalam organisasi tanpa terkecuali, untuk memungkinkan deteksi insiden tepat waktu dan meminimalkan potensi kerusakan.
- Tinjau dan kendalikan hak istimewa layanan dan akun pengguna, hindari pemberian hak yang berlebihan – terutama untuk akun yang digunakan di beberapa host dalam infrastruktur.
- Untuk melindungi perusahaan dari berbagai ancaman, gunakan solusi dari lini produk Kaspersky Next yang menyediakan perlindungan waktu nyata, visibilitas ancaman, investigasi, dan kemampuan respons EDR dan XDR untuk organisasi dengan berbagai skala dan industri. Bergantung pada kebutuhan Anda saat ini dan sumber daya yang tersedia, Anda dapat memilih tingkatan produk yang paling relevan dan dengan mudah bermigrasi ke tingkatan produk lain jika persyaratan keamanan siber Anda berubah.
- Terapkan layanan keamanan terkelola dari Kaspersky seperti Compromise Assessment, Managed Detection and Response (MDR), dan/atau Incident Response, yang mencakup seluruh siklus manajemen insiden – mulai dari identifikasi ancaman hingga perlindungan dan remediasi berkelanjutan. Mereka membantu melindungi dari serangan siber yang bersifat sembunyi-sembunyi, menyelidiki insiden, dan mendapatkan keahlian tambahan bahkan jika perusahaan kekurangan tenaga keamanan siber.
- Memberikan profesional InfoSec Anda visibilitas mendalam tentang ancaman siber yang menargetkan organisasi Anda. Kaspersky Threat Intelligence terbaru akan memberi mereka konteks yang kaya dan bermakna di seluruh siklus manajemen insiden dan membantu mereka mengidentifikasi risiko siber secara tepat waktu.
