Analis ancaman telah melihat serangan baru yang dikaitkan dengan kelompok peretasan Iran yang dikenal sebagai kelompok APT34 atau Oilrig, yang menargetkan seorang diplomat Yordania dengan alat yang dibuat khusus.
Serangan itu melibatkan teknik anti-deteksi dan anti-analisis tingkat lanjut dan memiliki beberapa karakteristik yang menunjukkan persiapan yang panjang dan hati-hati.
Peneliti keamanan di Fortinet telah mengumpulkan bukti dan artefak dari serangan pada Mei 2022 dan menyusun laporan teknis untuk menyoroti teknik dan metode terbaru APT34.
Email spear-phishing yang dilihat oleh Fortinet menargetkan seorang diplomat Yordania, berpura-pura dari seorang rekan di pemerintahan, dengan alamat email yang dipalsukan.
Email tersebut membawa lampiran Excel berbahaya yang berisi kode makro VBA yang dijalankan untuk membuat tiga file, file yang dapat dieksekusi berbahaya, file konfigurasi, dan DLL yang ditandatangani dan dibersihkan.
Makro juga menciptakan kegigihan untuk executable berbahaya (update.exe) dengan menambahkan tugas terjadwal yang berulang setiap empat jam.
Temuan lain yang tidak biasa menyangkut dua mekanisme anti-analisis yang diterapkan di makro: pengalihan visibilitas lembar dalam spreadsheet dan yang lainnya memeriksa keberadaan mouse, yang mungkin tidak ada pada layanan kotak pasir analisis malware.
Eksekusi berbahaya adalah biner .NET yang memeriksa status program dan membuat dirinya tertidur selama delapan jam setelah diluncurkan. Para analis percaya para peretas mungkin menetapkan penundaan ini dengan asumsi bahwa diplomat akan membuka email di pagi hari dan pergi setelah delapan jam sehingga komputer tidak akan dijaga.
Saat aktif, malware berkomunikasi dengan subdomain C2 menggunakan alat algoritma pembuatan domain (DGA). DGA adalah teknik yang digunakan secara luas yang membuat operasi malware lebih tahan terhadap penghapusan domain dan daftar blokir.
Kemudian membuat terowongan DNS untuk berkomunikasi dengan alamat IP yang disediakan. Ini adalah teknik yang jarang terlihat yang membantu pelaku ancaman mengenkripsi data yang dipertukarkan dalam konteks komunikasi ini, sehingga menyulitkan pemantau jaringan untuk menangkap sesuatu yang mencurigakan.
Beberapa domain yang digunakan dalam kampanye diberi nama yang mencurigakan, jelas berusaha menyamar sebagai entitas terkenal dan tepercaya seperti AstraZeneca, HSBC, dan Cisco.
Selanjutnya, C2 mengirimkan dua puluh dua perintah backdoor yang berbeda ke malware, yang dijalankan melalui PowerShell atau Windows CMD interpreter.
Terakhir, eksfiltrasi data yang dicuri dilakukan melalui DNS, dengan data yang disematkan ke dalam permintaan, membuatnya tampak standar dalam log jaringan.
APT34 sebelumnya telah dikaitkan dengan pemerintah Iran dan merupakan aktor ancaman yang cakap yang beroperasi dalam bayang-bayang, tidak meninggalkan banyak jejak.
Dengan demikian, laporan Fortinet sangat berharga bagi para peneliti dan pembela, yang harus memperhatikan indikator kompromi yang dipublikasikan.
Sumber: Bleeping Computer
