ArenaLTE.com - Pada akhir 2016, ahli Kaspersky Lab dihubungi oleh perbankan di CIS yang menemukan perangkat lunak pengujian-penetrasi, meterpreter, sekarang sering digunakan untuk tujuan jahat, dalam memori dari server mereka ketika tidak seharusnya kedua alat tersebut berada di sana. Kaspersky Lab menemukan bahwa kode meterpreter dikombinasikan dengan sejumlah skrip PowerShell yang sah dan utilitas lainnya.
Kombinasi keduanya telah diadaptasi ke dalam kode berbahaya yang bisa bersembunyi di memori, secara tak terlihat dan mengumpulkan password dari administrator sistem sehingga penyerang jarak jauh bisa mengendalikan sistem korban. Tujuan utama tampaknya untuk memiliki akses ke proses keuangan.
Kaspersky Lab sejak saat itu menemukan bahwa serangan ini terjadi dalam skala besar: menyerang lebih dari 140 jaringan perusahaan di berbagai sektor usaha, dengan sebagian besar korban berada di Amerika Serikat, Perancis, Ekuador, Kenya, Inggris dan Rusia.Secara total, ada 40 negara yang telah infeksi telah terinfeksi.
Peralatan tersebut juga mempersulit dalam mengungkapkan rincian dari serangan. Proses normal selama respon insiden adalah pihak penyidik mengikuti jejak dan sampel yang ditinggalkan di jaringan oleh penyerang. Sementara data-data dalam hard drive dapat tetap tersedia selama satu tahun setelah peristiwa, sampel yang bersembunyi di memori akan dihapus pada reboot pertama komputer. Untungnya, pada kesempatan ini, para ahli berhasil mendapatkannya tepat waktu sebelum terhapus.
Para penyerang sampai saat ini masih aktif, sehingga sangat penting untuk dicatat bahwa deteksi serangan seperti itu hanya mungkin dalam RAM, jaringan dan registry - oleh karenanya, dalam kasus seperti ini, penggunaan aturan Yara berdasarkan scan file jahat menjadi tidak ada gunanya.
Rincian bagian kedua dari operasi ini, menunjukkan bagaimana para penyerang menerapkan taktik unik untuk menarik uang melalui ATM yang akan dipresentasikan oleh Sergey Golovanov dan Igor Soumenkov di Security Analyst Summit, diselenggarakan dari 2-6 April 2017.
Produk Kaspersky Lab berhasil mendeteksi serangan menggunakan taktik, teknik dan prosedur di atas. Informasi lebih lanjut tentang cerita ini dan aturan Yara untuk analisis forensik dapat ditemukan di blog di Securelist.com. Rincian teknis, termasuk Indikator Kompromi (IoC) juga disediakan untuk pelanggan dari Kaspersky Intelligence Services. Memerangi serangan oleh kelompok hacker seperti GCMAN atau Carbanak membutuhkan seperangkat keterampilan khusus dari spesialis keamanan yang menjaga organisasi yang ditargetkan.