Kaspersky Temukan Serangan Siber SalmonSlalom

Jakarta, ID – Kaspersky ICS CERT menemukan sebuah kampanye serangan siber yang menargetkan organisasi/perusahaan industri di kawasan Asia-Pasifik yang disebut sebagai SalmonSlalom.

Kaspersky menyebut, para penyerang menantang pertahanan siber seperti ikan salmon yang mengarungi air terjun saat berenang ke hulu, kehilangan kekuatan saat bermanuver di antara bebatuan tajam.

Kampanye itu telah menargetkan lembaga pemerintah dan organisasi industri di beberapa negara dan wilayah di kawasan Asia-Pasifik, termasuk Taiwan, Malaysia, Tiongkok, Jepang, Thailand, Hong Kong, Korea Selatan, Singapura, Filipina, dan Vietnam.

“Kami berulang kali melihat pelaku ancaman menggunakan kombinasi metode dan teknik serangan yang relatif sederhana, namun berhasil menjangkau target mereka bahkan dalam perimeter OT,” ujar Kepala Kaspersky ICS CERT Evgeny Goncharov, dikutip InfoDigital.co.id, Rabu (26/2/2025).

Para penyerang menggunakan layanan cloud yang sah untuk mengelola malware dan menggunakan skema pengiriman malware multitahap yang rumit menggunakan perangkat lunak sah untuk menghindari deteksi.

Akibatnya, mereka dapat menyebarkan malware melalui jaringan organisasi korban, memasang alat administrasi jarak jauh, memanipulasi perangkat, mencuri dan menghapus informasi rahasia.

Arsip zip dengan malware yang disamarkan sebagai dokumen terkait pajak, dikirimkan kepada korban dalam sebuah kampanye phishing melalui e-mail dan messenger (WeChat dan Telegram).

Sebagai hasil dari prosedur instalasi malware multitahap yang rumit, sebuah backdoor, FatalRAT, dipasang ke dalam sistem.

Meskipun ada kemiripan dengan alur kerja yang diamati dalam kampanye sebelumnya yang dioperasikan oleh aktor ancaman menggunakan Trojan akses jarak jauh (RAT) sumber terbuka seperti Gh0st RAT, SimayRAT, Zegost, dan FatalRAT, kampanye ini menunjukkan perubahan penting dalam taktik, teknik, dan prosedur yang khusus disesuaikan untuk target berbahasa Mandarin.

Serangan tersebut dilakukan menggunakan jaringan pengiriman konten cloud (CDN) myqcloud milik Tiongkok yang sah dan layanan Youdao Cloud Notes.

Para penyerang menggunakan berbagai metode untuk menghindari deteksi dan pemblokiran, yakni mengubah server kontrol dan muatan berbahaya secara dinamis, menempatkan fail pada sumber daya web sah, mengeksploitasi kerentanan dalam aplikasi sah.

Mereka juga menggunakan kemampuan perangkat lunak sah untuk meluncurkan malware, mengemas dan mengenkripsi fai, hingga lalu lintas jaringan.

Saran Antisipsi Kaspersky

Sementara itu, Kaspersky menyarankan pengguna peranglat pintar beberapa langkah berikut untuk menekan potensi disusupi dan kerusakan menghadapi SalmonSalmon.

1. Aktifkan autentikasi dua faktor untuk masuk ke konsol administrasi dan antarmuka web solusi keamanan.

2. Instal versi terbaru solusi keamanan yang dikelola secara terpusat di semua sistem dan perbarui basis data antivirus dan modul program secara berkala.

3. Periksa, apakah semua komponen solusi keamanan diaktifkan di semua sistem dan kebijakan yang aktif melarang penonaktifan perlindungan dan penghentian, atau penghapusan komponen solusi tanpa memasukkan kata sandi administrator.

4. Periksa, apakah solusi keamanan menerima informasi ancaman terkini (misalnya, dari Kaspersky Security Network) untuk kelompok sistem yang penggunaan layanan keamanan cloudnya tidak dilarang oleh hukum atau peraturan.

5. Perbarui sistem operasi dan aplikasi ke versi yang saat ini didukung oleh vendor. Instal pembaruan keamanan (patch) terbaru untuk sistem operasi dan aplikasi.

6. Memanfaatkan solusi EDR/XDR/MDR untuk menetapkan dasar mengenai hubungan proses intergenerasi yang paling sering diamati di lingkungan operational technology (OT). (dmm)