Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan.
Operasi Shatak bermitra dengan pengembang malware lain untuk membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.
Para peneliti dari IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021, dengan hasil yang tampaknya bagus, karena kampanye terus berlanjut hingga hari ini.
Rantai infeksi tipikal dimulai dengan email phishing yang dikirim oleh Shatak, membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.
Menurut laporan bulan Oktober oleh IBM X-Force, Shatak biasanya menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.
Lampiran ini berisi skrip yang mengeksekusi kode base-64 encoded untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh.
Situs distribusi yang digunakan dalam kampanye terbaru berbasis di negara-negara Eropa seperti Jerman, Slovakia, dan Belanda.
Setelah berhasil menerapkan TrickBot dan/atau BazarBackdoor, ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke task schedule untuk persistance.
Aktor Conti kemudian menggunakan BazarBackdoor yang dijatuhkan untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama.
Kemudian mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa gunakan untuk menyebar secara lateral melalui jaringan.
Langkah selanjutnya adalah eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan Conti menggunakan alat ‘Rclone’ untuk mengirim semuanya ke endpoint jarak jauh di bawah kendali mereka.
Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.
Selengkapnya: Bleeping Computer