Sebanyak tiga kampanye yang berbeda tetapi terkait antara Maret dan Juni 2022 telah ditemukan mengirimkan berbagai malware, termasuk ModernLoader, RedLine Stealer, dan Cryptominers (penambang cryptocurrency) ke sistem yang disusupi.
“Para aktor menggunakan PowerShell, .NET assemblies, dan file HTA dan VBS untuk menyebar ke seluruh jaringan yang ditargetkan, akhirnya menjatuhkan malware lain, seperti trojan SystemBC dan DCRat, untuk mengaktifkan berbagai tahap operasi mereka,”
Implan berbahaya yang dimaksud, ModernLoader, dirancang untuk memberi penyerang kendali jarak jauh atas mesin korban, yang memungkinkan musuh menyebarkan malware tambahan, mencuri informasi sensitif, atau bahkan menjerat komputer dalam botnet.
Cisco Talos mengaitkan infeksi tersebut dengan aktor ancaman yang sebelumnya tidak berdokumen tetapi berbahasa Rusia, mengutip penggunaan alat yang tersedia. Target potensial termasuk pengguna Eropa Timur di Bulgaria, Polandia, Hongaria, dan Rusia.
Rantai infeksi yang ditemukan oleh perusahaan keamanan siber melibatkan upaya untuk mengkompromikan aplikasi web yang rentan seperti WordPress dan CPanel untuk mendistribusikan malware melalui file yang menyamar sebagai kartu hadiah Amazon palsu.
Payload tahap pertama adalah file Aplikasi HTML (HTA) yang menjalankan skrip PowerShell yang dihosting di server command-and-control (C2) untuk memulai penyebaran muatan intertim yang pada akhirnya menyuntikkan malware menggunakan teknik yang disebut proses pengosongan.
Digambarkan sebagai trojan akses jarak jauh .NET sederhana, ModernLoader (alias Avatar bot) dilengkapi dengan fitur untuk mengumpulkan informasi sistem, menjalankan perintah arbitrer, atau mengunduh dan menjalankan file dari server C2, memungkinkan musuh mengubah modul secara real- waktu.
Investigasi Cisco juga menemukan dua kampanye sebelumnya pada Maret 2022 dengan modus operandi serupa yang memanfaatkan ModerLoader sebagai komunikasi malware C2 utama dan menyajikan malware tambahan, termasuk XMRig, RedLine Stealer, SystemBC, DCRat, dan pencuri token Discord.
“Kampanye ini menggambarkan seorang aktor bereksperimen dengan teknologi yang berbeda,” kata Svajcer. “Penggunaan alat yang sudah jadi menunjukkan bahwa aktor memahami TTP yang diperlukan untuk kampanye malware yang sukses tetapi keterampilan teknis mereka tidak cukup berkembang untuk sepenuhnya mengembangkan alat mereka sendiri.”
Sumber: The Hackernews
