Sejak 2018, para peneliti Kaspersky menemukan serangkaian serangan Montys Three yang membidik sektor industri.
Jumlahnya masih jauh lebih sedikit dibandingkan kampanye serangan Advanced Persistent Threat (APT) terhadap diplomat atau aktor politik terkenal, serangan ini menggunakan perangkat yang dijuluki Montys Three oleh Kaspersky, atau oleh pembuat malware dinamai MT3.
Entitas pemerintah, diplomat, dan operator telekomunikasi cenderung menjadi target pilihan APT, karena individu dan institusi ini secara alami memiliki sejumlah informasi yang sangat rahasia dan sensitif secara politik. Kampanye spionase yang ditargetkan terhadap entitas industri memang masih lebih sedikit, tetapi seperti serangan lainnya, mereka dapat memiliki konsekuensi membahayakan bagi bisnis.
Serangan ini menggunakan berbagai teknik untuk menghindari deteksi, termasuk menghosting komunikasi dengan server kontrol di layanan cloud publik dan menyembunyikan modul berbahaya utama menggunakan steganografi.
Untuk melakukan spionase, MontysThree menggunakan program malware yang terdiri dari empat modul. Modul pertama adalah pemuat (loader) yang awalnya disebarkan menggunakan file RAR SFX (arsip yang diekstrak sendiri) dan berisi nama yang terkait dengan daftar kontak karyawan, dokumentasi teknis, dan hasil analisis medis untuk mengelabui karyawan agar mengunduh file — semacam teknik spear phishing pada umumnya. Pemuat memiliki tugas utama memastikan malware tidak terdeteksi di sistem; untuk melakukan ini, ia menerapkan teknik yang dikenal sebagai steganografi.
Steganografi digunakan oleh aktor ancaman untuk menyembunyikan fakta bahwa data sedang dipertukarkan. Dalam kasus MontysThree, muatan berbahaya utama disamarkan sebagai file bitmap (format untuk menyimpan gambar digital). Jika perintah telah benar dimasukkan, pemuat akan menggunakan algoritme yang dibuat khusus untuk mendekripsi konten dari larik piksel dan menjalankan muatan berbahaya.
Muatan berbahaya utama menggunakan beberapa teknik enkripsi sendiri untuk menghindari deteksi, yaitu penggunaan algoritma RSA untuk mengenkripsi komunikasi dengan server kontrol dan mendekripsi "tugas" penting dari malware. Ini termasuk mencari dokumen dengan ekstensi tertentu dan di direktori perusahaan tertentu. MontysThree dirancang secara khusus menargetkan dokumen Microsoft dan Adobe Acrobat; ia juga dapat menangkap tangkapan layar dan "sidik jari" (yaitu mengumpulkan informasi tentang pengaturan jaringan mereka, nama host, dll.) target untuk melihat apakah itu menarik bagi para pelaku kejahatan siber.
Informasi yang dikumpulkan dan komunikasi lainnya dengan server kontrol kemudian di-hosting di layanan cloud publik seperti Google, Microsoft, dan Dropbox. Hal ini membuat lalu lintas komunikasi sulit untuk dideteksi karena berbahaya, dan karena tidak ada antivirus yang memblokir layanan ini, maka dipastikan server kontrol dapat menjalankan perintah tanpa gangguan.
MontysThree juga menggunakan metode sederhana untuk mendapatkan persistensi pada sistem yang terinfeksi — pengubah untuk Windows Quick Launch. Pengguna secara tidak sengaja menjalankan modul awal malware sendiri setiap kali mereka menjalankan aplikasi yang sah, seperti browser, saat menggunakan toolbar Quick Launch.
Kaspersky belum dapat menemukan kesamaan perihal kode berbahaya atau infrastruktur dengan kelompok-kelompok APT sebelumnya
“MontysThree ini sangat menarik bukan hanya karena fakta bahwa ia menargetkan kepemilikan industri, tetapi karena kombinasi TTP yang canggih dan agak sedikit “amatir ". Secara umum, kecanggihan bervariasi dari modul ke modul, tetapi tidak dapat dibandingkan dengan level yang digunakan oleh APT paling canggih. Namun, mereka menggunakan standar kriptografi yang kuat dan memang terdapat beberapa keputusan yang tech-savvy, termasuk steganografi khusus. Namun yang jelas adalah para aktor ancaman telah melakukan upaya yang signifikan dalam mengembangkan perangkat MontysThree. Ini sekaligus menunjukkan tekad yang kokoh dalam tujuan mereka dan ini jelas tidak ditujukan sebagai kampanye jangka pendek,” komentar Denis Legezo, peneliti keamanan senior di Global Research & Analysis Team, Kaspersky.
Informasi mendetail tentang Indikator berbahaya terkait dengan grup ini, termasuk hash file, dapat diakses di Kaspersky Threat Intelligence Portal.
Untuk melindungi organisasi Anda dari serangan seperti MontysThree, para ahli Kaspersky merekomendasikan beberapa langkah:
- Beri staf Anda pelatihan dasar cyber security hygiene karena banyak serangan dimulai dengan phishing atau teknik rekayasa sosial lainnya. Lakukan simulasi serangan phishing untuk memastikan bahwa mereka mengetahui cara membedakan e-mail phishing.
- Memberi tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Kaspersky Threat Intelligence Portal adalah satu titik akses untuk TI perusahaan, menyediakan data dan wawasan serangan dunia maya yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
- Untuk deteksi level endpoint, investigasi, dan remediasi insiden tepat waktu, terapkan solusi EDR, seperti Kaspersky Endpoint Detection and Response.
- Selain mengadopsi perlindungan titik akhir (endpoint) yang penting, terapkan solusi keamanan perusahaan yang mendeteksi ancaman tingkat lanjut di level jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
- Pastikan Anda melindungi titik akhir industri serta perusahaan. Solusi Kaspersky Industrial CyberSecurity mencakup perlindungan khusus titik akhir dan pemantauan jaringan untuk mengungkap aktivitas yang mencurigakan dan berpotensi berbahaya di jaringan industri.