FireEye menemukan kampanye cyberpostage Gh0stRAT berlanjut

Alat pengintai maya terkenal yang disebut Gh0st RAT masih digunakan dalam serangan malware tersembunyi, menurut laporan baru dari firma keamanan FireEye.

FireEye, yang berspesialisasi dalam deteksi malware, dirilis data yang dikumpulkan dari ratusan pelanggannya selama tahun 2012. Ini melihat 12 juta laporan berbeda dari aktivitas yang mencurigakan, sekitar 2.000 di antaranya diklasifikasikan sebagai "ancaman persisten lanjutan" (APT), istilah industri keamanan untuk canggih, sulit dideteksi. serangan ditujukan pada infiltrasi organisasi jangka panjang.

Sebagian besar dari 2.000 insiden tersebut menggunakan RAT Gh0st, alat akses jarak jauh yang diyakini telah dikembangkan di China yang memungkinkan penyerang mencuri saya. nformasi dari komputer korban. Pada tahun 2009, para peneliti dengan Informasi Warfare Monitor, proyek penelitian keamanan komputer, dan Universitas Toronto melaporkan kampanye spionase dunia maya yang luas menggunakan RAT Gh0st yang menargetkan lebih dari 1.000 komputer di 103 negara.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda

Gh0st RAT adalah "bagian yang sangat penting dari banyak jenis kampanye APT karena ini adalah alat yang efektif," kata Rob Rachwald, direktur riset pasar senior FireEye.

Laporan FireEye secara luas melihat bagaimana penyerang mengekstrak informasi dari korban dan mengendalikan malware mereka di komputer yang terinfeksi, atau aktivitas "callback". Data mereka dari tahun 2012 menunjukkan bahwa penyerang menggunakan server perintah-dan-kontrol untuk mengirimkan instruksi ke malware di 184 negara sekarang, peningkatan 42 persen selama 2010.

Korea Selatan memiliki konsentrasi aktivitas panggilan balik. Server perusahaan teknologi cenderung ditargetkan oleh peretas untuk berkomunikasi dengan komputer yang terinfeksi. "Saya pikir fakta bahwa mereka secara tradisional adalah salah satu negara yang paling terhubung di dunia mungkin adalah pengemudi lain untuk ini," kata Rachwald.

Laporan FireEye mengatakan "dalam arti, Korea Selatan dilanda oleh TIK [terpencil alat akses]. Sudah jelas dari data 2012 bahwa Korea Selatan adalah salah satu tujuan panggilan balik teratas di dunia dan bahwa beberapa kegiatan callback negara terkait dengan serangan yang lebih terarah. ”

Peretas juga memasukkan informasi yang dicuri ke dalam file gambar JPEG di untuk membuat data terlihat lebih seperti lalu lintas normal. Malware juga menggunakan situs jejaring sosial seperti Twitter dan Facebook untuk menempatkan instruksi untuk mesin yang terinfeksi, kata FireEye.

Perusahaan memperhatikan perubahan lain dalam perilaku peretas. Biasanya, server perintah-dan-kontrol berada di negara yang berbeda dari korban. Sekarang mereka mencari infrastruktur perintah di negara yang sama untuk membuat lalu lintas terlihat normal.

Tapi untuk beberapa negara, peretas tidak peduli dengan server kontrol di negara target. Kanada dan Inggris memiliki persentase tinggi lalu lintas panggilan balik ke luar negeri. Penyerang mungkin tidak melakukan itu di negara-negara itu karena "mereka tahu mereka tidak akan terdeteksi," kata Rachwald.