Poison Ivy Trojan yang digunakan dalam serangan RSA SecurID masih populer

Alat perangkat lunak berbahaya yang mungkin paling terkenal digunakan untuk meretas infrastruktur SecurID RSA masih digunakan dalam serangan yang ditargetkan, menurut vendor keamanan FireEye.

Poison Ivy adalah Trojan akses jarak jauh (RAT) yang dirilis delapan tahun lalu tetapi masih disukai oleh beberapa peretas, tulis FireEye dalam laporan baru yang dirilis Rabu. Ini memiliki antarmuka Windows yang akrab, mudah digunakan dan dapat mencatat penekanan tombol, mencuri file dan kata sandi.

[Pakar keamanan Roger A. Grimes menawarkan tur terpandu tentang ancaman terbaru dan menjelaskan apa yang dapat Anda lakukan untuk menghentikannya dalam video "Fight Today's Malware", Shop Talk. | Ikuti terus masalah keamanan utama dengan blog Penasihat Keamanan dan buletin Pusat Keamanan. ]

Karena Poison Ivy masih digunakan secara luas, FireEye mengatakan lebih sulit bagi analis keamanan untuk menghubungkan penggunaannya ke grup peretasan tertentu.

Untuk analisisnya, perusahaan mengumpulkan 194 sampel Poison Ivy yang digunakan dalam serangan sejak 2008, dengan melihat sandi yang digunakan oleh penyerang untuk mengakses RAT dan server perintah dan kontrol yang digunakan.

Tiga kelompok, salah satunya tampaknya berbasis di China, telah menggunakan Poison Ivy dalam serangan yang ditargetkan setidaknya empat tahun yang lalu. FireEye mengidentifikasi grup dengan kata sandi yang mereka gunakan untuk mengakses Poison Ivy RAT yang telah mereka tempatkan di komputer target: admin338, th3bug dan menuPass.

Grup admin388 diyakini telah aktif sejak Januari 2008, menargetkan ISP, perusahaan telekomunikasi, organisasi pemerintah, dan sektor pertahanan, tulis FireEye.

Korban biasanya menjadi sasaran grup tersebut dengan email spear-phishing, yang berisi lampiran Microsoft Word atau PDF berbahaya dengan kode Poison Ivy. Email dalam bahasa Inggris tetapi menggunakan set karakter Cina di badan pesan email.

Kehadiran Poison Ivy mungkin menunjukkan minat yang lebih tajam oleh penyerang, karena harus dikontrol secara manual dalam waktu nyata.

"RAT jauh lebih pribadi dan mungkin menunjukkan bahwa Anda berurusan dengan aktor ancaman khusus yang tertarik pada organisasi Anda secara khusus," tulis FireEye.

Untuk membantu organisasi mendeteksi Poison Ivy, FireEye merilis "Calamine," satu set dua alat yang dirancang untuk memecahkan kode enkripsi dan mencari tahu apa yang dicuri.

Informasi yang dicuri dienkripsi oleh Poison Ivy menggunakan cipher Camellia dengan kunci 256-bit sebelum dikirim ke server jarak jauh, tulis FireEye. Kunci enkripsi berasal dari kata sandi yang digunakan penyerang untuk membuka Poison Ivy.

Banyak penyerang hanya menggunakan kata sandi default, "admin." Tetapi jika kata sandi telah berubah, salah satu alat Calamine, skrip PyCommand, dapat digunakan untuk mencegatnya. Alat Calamine kedua kemudian dapat mendekripsi lalu lintas jaringan Poison Ivy, yang dapat memberikan indikasi tentang apa yang telah dilakukan penyerang.

"Calamine mungkin tidak menghentikan penyerang gigih yang menggunakan Poison Ivy," FireEye memperingatkan. "Tapi itu bisa membuat upaya kriminal mereka jauh lebih sulit."

Kirim tips berita dan komentar ke [email protected] Ikuti saya di Twitter: @jeremy_kirk.