Kampanye ancaman persisten tingkat lanjut (APT) yang dikenal sebagai OneClick telah teridentifikasi secara aktif menargetkan organisasi dalam sektor energi. Serangan ini memanfaatkan backdoor yang dirancang dengan sangat canggih dan tersembunyi untuk mendapatkan dan mempertahankan akses ke jaringan yang disusupi, dengan fokus pada entitas di sektor infrastruktur kritis.
Modus Operandi Serangan Awal
Serangan awal dalam kampanye OneClick sering kali dimulai dengan penggunaan file pintasan berbahaya berekstensi .LNK. File-file ini dibuat secara khusus untuk mengeksploitasi kerentanan atau perilaku sistem yang sah. Ketika file .LNK yang berbahaya ini diaktifkan, alih-alih hanya membuka pintasan biasa, file tersebut memicu eksekusi serangkaian perintah yang memuat dan menjalankan malware. Salah satu teknik utama yang digunakan adalah DLL side-loading, di mana file .LNK mengelabui aplikasi yang sah agar memuat Dynamic Link Library (DLL) yang berbahaya yang kemudian mengeksekusi kode malware utama.
Fitur Backdoor yang Canggih
Backdoor yang digunakan dalam kampanye OneClick menunjukkan tingkat kecanggihan yang signifikan. Mereka dirancang khusus untuk menghindari deteksi oleh solusi keamanan tradisional melalui penggunaan teknik seperti obfuscation kode yang kompleks dan eksekusi langsung di dalam memori sistem tanpa meninggalkan jejak yang jelas di disk. Setelah berhasil dieksekusi, backdoor ini memberikan akses persisten kepada pelaku ancaman, memungkinkan mereka untuk melakukan pengintaian internal, mengumpulkan data sensitif, dan mengeksfiltrasi informasi dari jaringan korban secara diam-diam.
Target Utama dan Tujuan Spionase
Sektor energi, termasuk perusahaan di bidang minyak dan gas, listrik, dan energi terbarukan, merupakan target utama dari kampanye OneClick. Tujuan utama di balik serangan ini diyakini adalah spionase siber. Pelaku ancaman berusaha mengumpulkan informasi sensitif terkait operasional, teknologi, strategi bisnis, atau bahkan data geopolitik yang bernilai tinggi bagi kepentingan mereka. Kampanye OneClick ini menggarisbawahi ancaman berkelanjutan yang dihadapi oleh infrastruktur penting dari aktor ancaman yang memiliki kemampuan APT dan motivasi terkait negara atau ekonomi.
Sumber: https://securityaffairs.com/179388/hacking/oneclik-apt-campaign-targets-energy-sector-with-stealthy-backdoors.html