Sejak pertengahan Juli 2015 sejumlah organisasi Korea Selatan dilaporkan telah mendapat serangan dari malware Duuzer. Malware tersebut berfungsi sebagai backdoor yang memungkinkan akses penyerang dan beberapa kontrol atas sistem yang terinfeksi.
Malware Duuzer tersebut awalnya ditemukan oleh para peneliti Symantec yang mengatakan bahwa sebagian besar serangan tersebut terjadi pada komputer milik organisasi yang berada di sektor manufaktur dengan OS 32-bit serta 64-bit. Symantec sendiri tidak dapat menjelaskan secara rinci bagaimana infeksi tersebut dapat terjadi, namun jika dilihat dari beberapa serangan serupa di Korea Selatan, kebanyakan melalui spear phisingdan serangan exploit watering hole klasik.
Saat menginfeksi PC pengguna, malware Duuzer akan membuat backdoor di komputer tersebut yang akan memungkinkan penyerang untuk melakukan akses manual. Dengan backdoor, penyerang dapat menjalankan PC tersebut secara remote. Mereka dapat mendapatkan informasi sistem PC korban, mengubah proses OS serta file, mengunggah atau mengunduh file, mengubah time-related metadata, dan bahkan menjalankan local commands.
Selain backdoor Duuzer, peneliti Symantec juga mendapati malware lainnya yang juga turut menginfeksi. Beberapa diantaranya adalah worm Brambul dan Joanap trojan. Keduanya lebih sering bekerja secara bersama-sama. Brambul biasanya menginfeksi lebih dahulu dan kemudian diikuti oleh Joanap.
“Komputer yang terinfeksi Brambul digunakan sebagai command-and-control (C&C) server bagi Duuzer,” ujar tim Symantec Security Response.
Setelah worm Brambul menginfeksi komputer, secara otomatis korban akan terhubung ke random IP address pada jaringan lokal dan mencoba untuk mengotentikasi dirinya sendiri menggunakan serangan brute force melalui SMB (Server Message Block) Protokol, untuk menginfeksi komputer lain. Dengan cara ini, worm tersebut dapat mendistribusikan dirinya sendiri tanpa perlu dikendalikan lagi oleh penyerang.
Jika dilihat dari serangan hacker yang menggunakan beberapa tools tersebut, menimbulkan indikasi bahwa serangan tersebut disponsori oleh suatu negara dalam hal pendanaan.
Sumber: ciso.co.id
