Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Korea Utara

Korea Utara

Hacker masih mengeksploitasi Internet Explorer zero-days

by

Grup Analisis Ancaman Google (TAG) mengungkapkan bahwa sekelompok peretas Korea Utara yang dilacak sebagai APT37 mengeksploitasi kerentanan Internet Explorer yang sebelumnya tidak diketahui (dikenal sebagai zero-day) untuk menginfeksi target Korea Selatan dengan malware.

Google TAG mengetahui serangan baru-baru ini pada tanggal 31 Oktober ketika beberapa pengirim VirusTotal dari Korea Selatan mengunggah dokumen Microsoft Office berbahaya bernama “221031 Situasi tanggap kecelakaan Yongsan Itaewon Seoul (06:00).docx.”

Setelah dibuka di perangkat korban, dokumen tersebut akan mengirimkan muatan yang tidak diketahui setelah mengunduh template jarak jauh file teks kaya (RTF) yang akan merender HTML jarak jauh menggunakan Internet Explorer.

Memuat konten HTML yang mengirimkan eksploit dari jarak jauh memungkinkan penyerang untuk mengeksploitasi IE zero-day bahkan jika target tidak menggunakannya sebagai browser web default mereka.

Kerentanan (dilacak sebagai CVE-2022-41128) disebabkan oleh kelemahan dalam mesin JavaScript Internet Explorer, yang memungkinkan pelaku ancaman yang berhasil mengeksploitasinya untuk mengeksekusi kode arbitrer saat merender situs web yang dibuat secara berbahaya.

Microsoft menambalnya selama Patch Selasa bulan lalu, pada 8 November, lima hari setelah menetapkannya sebagai ID CVE menyusul laporan dari TAG yang diterima pada 31 Oktober.

Tidak ada informasi tentang malware yang didorong ke perangkat korban
Meskipun Google TAG tidak dapat menganalisis muatan jahat terakhir yang didistribusikan oleh peretas Korea Utara di komputer target Korea Selatan mereka, pelaku ancaman dikenal menyebarkan berbagai malware dalam serangan mereka.

“Meskipun kami tidak mendapatkan muatan akhir untuk kampanye ini, kami sebelumnya telah mengamati kelompok yang sama mengirimkan berbagai implan seperti ROKRAT, BLUELIGHT, dan DOLPHIN,” kata Clement Lecigne dan Benoit Stevens dari Google TAG.

“Implan APT37 biasanya menyalahgunakan layanan cloud yang sah sebagai saluran C2 dan menawarkan kemampuan yang khas dari sebagian besar backdoor.”

Kelompok ancaman ini dikenal karena memfokuskan serangannya pada individu yang berkepentingan dengan rezim Korea Utara, termasuk para pembangkang, diplomat, jurnalis, aktivis hak asasi manusia, dan pegawai pemerintah.

Sumber: Bleeping Computer

Lazarus Group Menyebarkan Malware MagicRAT

by

Aktor negara-bangsa Korea Utara yang produktif yang dikenal sebagai Grup Lazarus telah dikaitkan dengan trojan akses jarak jauh baru yang disebut MagicRAT.

Bagian dari malware yang sebelumnya tidak diketahui dikatakan telah disebarkan di jaringan korban yang awalnya telah dilanggar melalui eksploitasi yang berhasil dari server VMware Horizon yang menghadap internet.

Lazarus Group, juga dikenal sebagai APT38, Dark Seoul, Hidden Cobra, dan Zinc, mengacu pada sekelompok aktivitas siber yang didorong oleh keuangan dan spionase yang dilakukan oleh pemerintah Korea Utara sebagai sarana untuk menghindari sanksi yang dikenakan pada negara tersebut dan memenuhi strateginya. tujuan.

Seperti kolektif payung lainnya, Winnti dan MuddyWater, kolektif peretas yang disponsori negara juga memiliki kelompok “spin-off” seperti Bluenoroff dan Andariel, yang fokus pada jenis serangan dan target tertentu.

Sementara subkelompok Bluenoroff berfokus pada menyerang lembaga keuangan asing dan melakukan pencurian moneter, Andariel mengabdikan diri untuk mengejar organisasi dan bisnis Korea Selatan.

“Lazarus mengembangkan alat serangan dan malware mereka sendiri, dapat menggunakan teknik serangan yang inovatif, bekerja dengan sangat metodis, dan membutuhkan waktu mereka,” kata perusahaan keamanan siber NCC Group dalam sebuah laporan yang merinci aktor ancaman tersebut.

“Secara khusus, metode Korea Utara bertujuan untuk menghindari deteksi oleh produk keamanan dan tetap tidak terdeteksi dalam sistem yang diretas selama mungkin.”

Penambahan terbaru untuk perangkat malware yang luas menunjukkan kemampuan grup untuk menggunakan banyak taktik dan teknik tergantung pada target dan tujuan operasional mereka.

Implan berbasis C++, MagicRAT dirancang untuk mencapai kegigihan dengan membuat tugas terjadwal pada sistem yang disusupi. Ini juga “agak sederhana” karena memberikan penyerang dengan shell jarak jauh untuk menjalankan perintah sewenang-wenang dan melakukan operasi file.

MagicRAT juga mampu meluncurkan muatan tambahan yang diambil dari server jauh pada host yang terinfeksi. Salah satu executable yang diambil dari server command-and-control (C2) berbentuk file gambar GIF, tetapi pada kenyataannya adalah pemindai port yang ringan.

Selain itu, infrastruktur C2 yang terkait dengan MagicRAT telah ditemukan menyimpan dan melayani versi TigerRAT yang lebih baru, pintu belakang yang sebelumnya dikaitkan dengan Andariel dan direkayasa untuk menjalankan perintah, mengambil tangkapan layar, mencatat penekanan tombol, dan memanen informasi sistem.

Juga tergabung dalam varian terbaru adalah fitur USB Dump yang memungkinkan musuh untuk berburu file dengan ekstensi tertentu, di samping meletakkan dasar untuk menerapkan pengambilan video dari webcam.

“Penemuan MagicRAT di alam liar merupakan indikasi motivasi Lazarus untuk dengan cepat membangun malware baru yang dipesan lebih dahulu untuk digunakan bersama dengan malware mereka yang sebelumnya dikenal seperti TigerRAT untuk menargetkan organisasi di seluruh dunia,” kata para peneliti.

Sumber:

Bagaimana peretas ‘Kimsuky’ memastikan malware mereka hanya mencapai target yang valid

by

Aktor ancaman ‘Kimsuky’ Korea Utara akan berusaha keras untuk memastikan bahwa muatan berbahaya mereka hanya diunduh oleh target yang valid dan bukan pada sistem peneliti keamanan.

Menurut laporan Kaspersky yang diterbitkan hari ini, kelompok ancaman telah menggunakan teknik baru untuk menyaring permintaan unduhan yang tidak valid sejak awal tahun 2022, ketika kelompok tersebut meluncurkan kampanye baru terhadap berbagai target di semenanjung Korea.

Perlindungan baru yang diterapkan oleh Kimsuky sangat efektif sehingga Kaspersky melaporkan ketidakmampuan untuk memperoleh muatan akhir bahkan setelah berhasil terhubung ke server perintah dan kontrol pelaku ancaman.

Serangan yang ditemukan oleh Kaspersky dimulai dengan email phishing yang dikirim ke politisi, diplomat, profesor universitas, dan jurnalis di Korea Utara dan Selatan.

Kaspersky dapat mengkompilasi daftar target potensial berkat skrip C2 yang diambil yang berisi sebagian alamat email target.

Target potensial yang diturunkan oleh Kaspersky

Email berisi tautan yang membawa korban ke server C2 tahap pertama yang memeriksa dan memverifikasi beberapa parameter sebelum mengirimkan dokumen berbahaya. Jika pengunjung tidak cocok dengan daftar target, mereka akan disuguhi dokumen yang tidak berbahaya.

Parameter termasuk alamat email pengunjung, OS (Windows valid), dan file “[who].txt” yang dijatuhkan oleh server tahap kedua.

Pada saat yang sama, alamat IP pengunjung diteruskan ke server C2 tahap kedua sebagai parameter pemeriksaan berikutnya.

Dokumen yang dijatuhkan oleh C2 tahap pertama berisi makro berbahaya yang menghubungkan korban ke C2 tahap kedua, mengambil muatan tahap berikutnya, dan menjalankannya dengan proses mshta.exe.

Beberapa dokumen dikirim ke target (Kaspersky)

Payload adalah file .HTA yang juga membuat tugas terjadwal untuk eksekusi otomatis. Fungsinya untuk profil korban dengan memeriksa jalur folder ProgramFiles, nama AV, nama pengguna, versi OS, versi MS Office, versi .NET framework, dan banyak lagi.

Hasil sidik jari disimpan dalam string (“chnome”), salinan dikirim ke C2, dan muatan baru diambil dan didaftarkan dengan mekanisme persistensi.

Payload berikutnya adalah file VBS yang dapat membawa korban ke blog yang sah atau, jika targetnya valid, bawa mereka ke fase download payload berikutnya.

Ini adalah saat sistem korban diperiksa untuk keberadaan string “chnome” yang tidak biasa, yang sengaja salah eja untuk berfungsi sebagai validator unik yang masih tidak menimbulkan kecurigaan.

Proses infeksi terbaru Kimsuky (Kaspersky)

Sayangnya, Kaspersky tidak dapat melanjutkan dari sini dan mengambil payload tahap berikutnya, jadi apakah itu akan menjadi yang terakhir atau jika ada sebagian besar langkah validasi masih belum diketahui.

Kimsuky adalah aktor ancaman yang sangat canggih yang baru-baru ini terlihat menyebarkan malware khusus dan menggunakan ekstensi Google Chrome untuk mencuri email dari korban.

Kampanye yang disorot oleh Kaspersky menggambarkan teknik rumit yang digunakan oleh peretas Korea untuk menghalangi analisis dan membuat pelacakan mereka jauh lebih sulit.

Sumber:

Lazarus APT Korea Utara Menargetkan Chip M1 Apple

by

Advanced Persistent Threat (APT) Korea Utara Lazarus menyebarkan jaring yang lebih luas dengan kampanye Operation In(ter)ception yang sedang berlangsung, menargetkan Mac dengan chip M1 Apple.

Kelompok yang disponsori negara ini melanjutkan pendekatan yang disukai untuk meluncurkan serangan phishing dengan kedok peluang kerja palsu. Peneliti ancaman di penyedia deteksi titik akhir ESET memperingatkan minggu ini bahwa mereka menemukan Mac yang dapat dieksekusi yang disamarkan sebagai deskripsi pekerjaan untuk posisi manajer teknik di operator pertukaran cryptocurrency populer Coinbase.

Menurut peringatan ESET di Twitter, Lazarus mengunggah tawaran pekerjaan palsu ke VirusTotal dari Brasil. Lazarus merancang iterasi terbaru dari malware, Interception.dll, untuk dijalankan di Mac dengan memuat tiga file: dokumen PDF dengan posting pekerjaan Coinbase palsu dan dua executable, FinderFontsUpdater.app dan safarifontsagent, menurut peringatan tersebut. Biner dapat membahayakan Mac yang didukung baik dengan prosesor Intel dan dengan chipset M1 baru Apple.

Peneliti ESET mulai menyelidiki Operation In(ter)ception hampir tiga tahun lalu ketika para penelitinya menemukan serangan terhadap perusahaan kedirgantaraan dan militer. Mereka menentukan bahwa tujuan utama kampanye adalah spionase, meskipun juga menemukan contoh penyerang menggunakan akun email korban melalui kompromi email bisnis (BEC) untuk menyelesaikan operasi.

Malware Interception.dll memberikan tawaran pekerjaan yang menarik tetapi palsu untuk memikat korban yang tidak curiga, sering kali menggunakan LinkedIn.

Serangan Mac adalah yang terbaru dari rentetan upaya Lazarus untuk mempercepat Operasi In(ter)ception, yang telah meningkat dalam beberapa bulan terakhir. ESET menerbitkan buku putih terperinci tentang taktik oleh Lazarus dua tahun lalu.

Ironisnya, lowongan pekerjaan Coinbase yang menarik menargetkan orang-orang yang berorientasi teknis.

Apple mencabut sertifikat yang memungkinkan malware untuk dieksekusi akhir pekan lalu setelah ESET memperingatkan perusahaan tentang kampanye tersebut. Jadi sekarang, komputer dengan macOS Catalina v10.15 atau lebih baru dilindungi, dengan asumsi pengguna memiliki kesadaran keamanan dasar, catatan Kalnai.

Kampanye yang sedang berlangsung dan lainnya dari Korea Utara tetap membuat frustrasi pejabat pemerintah. FBI menyalahkan Lazarus karena mencuri $625 juta dalam cryptocurrency dari Ronin Network, yang mengoperasikan platform blockchain untuk game NFT populer Axie Infinity.

Andrew Grotto, yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Gedung Putih pada pemerintahan Obama dan Trump, mengatakan Korea Utara telah bangkit dari calon antagonis menjadi salah satu aktor ancaman paling agresif di dunia.

Sumber: Dark Reading

Peretas Korea Utara menyerang target UE dengan malware Konni RAT

by

Analis ancaman telah menemukan kampanye baru yang dikaitkan dengan APT37, kelompok peretas Korea Utara, yang menargetkan organisasi bernilai tinggi di Republik Ceko, Polandia, dan negara-negara Eropa lainnya.

Dalam kampanye ini, peretas menggunakan malware yang dikenal sebagai Konni, trojan akses jarak jauh (RAT) yang mampu membangun kegigihan dan melakukan eskalasi hak istimewa pada host.

Konni telah dikaitkan dengan serangan siber Korea Utara sejak 2014, dan baru-baru ini, terlihat dalam kampanye spear-phishing yang menargetkan Kementerian Luar Negeri Rusia.

Kampanye terbaru dan masih berlangsung diamati dan dianalisis oleh para peneliti di Securonix, yang menyebutnya STIFF#BIZON, dan menyerupai taktik dan metode yang sesuai dengan kecanggihan operasional APT (ancaman persisten lanjutan).

Serangan dimulai dengan datangnya email phishing dengan lampiran arsip yang berisi dokumen Word (missile.docx) dan file Windows Shortcut (_weapons.doc.lnk.lnk).

Ketika file LNK dibuka, kode berjalan untuk menemukan skrip PowerShell yang disandikan base64 dalam file DOCX untuk membangun komunikasi C2 dan mengunduh dua file tambahan, ‘weapons.doc’ dan ‘wp.vbs’.

Properti file pintasan berbahaya

Dokumen yang diunduh adalah umpan, konon laporan dari Olga Bozheva, seorang koresponden perang Rusia. Pada saat yang sama, file VBS berjalan tanpa suara di latar belakang untuk membuat tugas terjadwal di host.

PowerShell yang disandikan Base64 menambahkan tugas terjadwal (Securonix)

Pada fase serangan ini, aktor telah memuat RAT dan membuat tautan pertukaran data, dan mampu melakukan tindakan berikut:

  • Screenshot menggunakan Win32 GDI API dan ekstrak dalam bentuk GZIP.
  • Ekstrak kunci status yang disimpan dalam file Status Lokal untuk dekripsi basis data cookie, berguna dalam melewati MFA.
  • Ekstrak kredensial yang disimpan dari browser web korban.
  • Luncurkan shell interaktif jarak jauh yang dapat menjalankan perintah setiap 10 detik.

Pada tahap keempat serangan, seperti yang ditunjukkan pada diagram di bawah, peretas mengunduh file tambahan yang mendukung fungsi sampel Konni yang dimodifikasi, mengambilnya sebagai arsip “.cab” terkompresi.

Diagram rantai infeksi (Securonix)

Ini termasuk DLL yang menggantikan perpustakaan layanan Windows yang sah seperti “wpcsvc” di System32, yang dimanfaatkan untuk menjalankan perintah di OS dengan hak pengguna yang lebih tinggi.

Sementara taktik dan toolset menunjuk ke APT37, Securonix menggarisbawahi kemungkinan APT28 (alias FancyBear) berada di balik kampanye STIFF#BIZON.

Kelompok ancaman yang disponsori negara sering mencoba untuk meniru TTP dari APT terampil lainnya untuk mengaburkan jejak mereka dan menyesatkan analis ancaman, sehingga kemungkinan kesalahan atribusi, dalam hal ini, adalah signifikan.

Sumber: Bleeping Computer

$540 Juta Crypto Gaming Hack Dimungkinkan Dengan Skema Phishing yang Rumit

by

Klon Pokémon NFT, Axie Infinity, berubah dari terkenal karena pemain yang mengambil untung dari penipuan game “play-to-earn” menjadi terkenal karena diretas dari $ 540 juta dalam cryptocurrency.

Bagi mereka yang tidak terbiasa dengan grift Axie, pengembang Sky Mavis mengembangkan sidechain terkait Ethereum yang disebut Ronin Network dan mencangkok pada game tentang bertarung dan membiakkan monster lucu yang disebut Axie Infinity.

Di game tersebut pemain diundang untuk mendapatkan cryptocurrency berbasis Ethereum, awalnya game tersebut menghasilkan keuntungan besar karena pemain baru mencurahkan waktu dan uang mereka ke dalam platform. Namun pada awal tahun ini, perusahaan itu menghadapi segala macam hambatan, mulai dari pertumbuhan yang stagnan hingga inflasi mata uang dan, yang paling penting, salah satu peretasan crypto terbesar sepanjang masa.

Pengembang Sky Mavis mengungkapkan kembali pada bulan April bahwa pelanggaran keamanan dimungkinkan oleh seorang karyawan yang “dikompromikan” oleh “serangan spear-phishing tingkat lanjut.” “Penyerang berhasil memanfaatkan akses itu untuk menembus infrastruktur TI Sky Mavis dan mendapatkan akses ke node validator,” tulis perusahaan saat itu.

The Block sekarang melaporkan, berdasarkan dua sumber yang mengetahui langsung insiden tersebut, bahwa karyawan tersebut adalah seorang insinyur senior di Axie Infinity dan cara untuk menyusup ke komputer mereka adalah tawaran pekerjaan yang terlalu bagus untuk menjadi kenyataan.

Menurut The Block, penipu yang mewakili perusahaan palsu mendekati insinyur melalui LinkedIn, mendorong mereka untuk melamar pekerjaan, mengadakan beberapa putaran wawancara, dan akhirnya membuat tawaran pekerjaan yang mencakup “paket kompensasi yang sangat murah hati.” Namun tawaran itu tertuang dalam file PDF.

Setelah Mark mengunduhnya, spyware dilaporkan dapat menyusup ke sistem Jaringan Ronin dan memberi peretas akses ke empat dari lima node (dari total sembilan) yang mereka butuhkan untuk diuangkan. Akses ke yang kelima diperoleh melalui sesuatu yang disebut Axie DAO—organisasi terpisah yang diminta oleh Sky Mavis untuk membantu masuknya transaksi selama puncak popularitas Axie Infinity. Sky Mavis gagal menghapus akses DAO dari sistemnya setelah bantuannya tidak lagi diperlukan.

Salah satu daya tarik teknologi blockchain yang banyak digembar-gemborkan adalah kemampuannya untuk membuat basis data publik dan dapat diakses oleh semua orang sambil tetap menjaganya tetap aman. Tetapi setiap pintu yang terkunci, tidak peduli seberapa kuatnya, hanya akan seaman orang yang memegang kuncinya.

Di sini, dengan Axie Infinity, kerentanan karyawan Sky Mavis diperparah oleh pintasan ceroboh yang diperlukan untuk tetap berada di puncak pertumbuhan meteorik game musim gugur lalu. (Sky Mavis telah meningkatkan total node validatornya menjadi 11, dengan rencana jangka panjang untuk memiliki lebih dari 100.)

Tentu saja, sementara itu perusahaan masih perlu membayar kembali semua orang yang kehilangan uang dalam peretasan. Pada bulan April, ia mengumpulkan $150 juta lagi, sebagian dalam upaya untuk membuat playerbase yang ada menjadi utuh kembali.

Pada bulan yang sama, FBI mengidentifikasi peretas Korea Utara “Lazarus Group” sebagai pelaku di balik serangan Axie Infinity. Badan penegak hukum federal juga baru-baru ini memperingatkan perusahaan agar tidak secara tidak sengaja mempekerjakan peretas Korea Utara sebagai spesialis TI jarak jauh.

Sumber: Kotaku

Pemerintah AS peringatkan serangan ransomware Maui terhadap organisasi Health Services

by

FBI, CISA, dan Departemen Keuangan A.S. hari ini mengeluarkan peringatan bersama tentang aktor ancaman yang didukung Korea Utara yang menggunakan ransomware Maui dalam serangan terhadap organisasi Kesehatan dan Kesehatan Masyarakat (HPH).

Mulai Mei 2021, FBI telah menanggapi dan mendeteksi beberapa serangan ransomware Maui yang berdampak pada organisasi Sektor HPH di seluruh AS.

Menurut laporan ancaman yang ditulis oleh reverse engineer utama Stairwell Silas Cutler, ransomware Maui disebarkan secara manual di seluruh jaringan korban yang disusupi, dengan operator jarak jauh menargetkan file tertentu yang ingin mereka enkripsi.

Sementara Stairwell mengumpulkan sampel Maui pertama pada awal April 2022, semua sampel ransomware Maui memiliki stempel waktu kompilasi yang sama pada 15 April 2021.

Maui juga menonjol dibandingkan dengan jenis ransomware lainnya dengan tidak menjatuhkan catatan tebusan pada sistem terenkripsi untuk memberikan instruksi pemulihan data kepada korban.

File enkripsi ransomware Maui (BleepingComputer)

Tiga agen federal AS juga memberikan indikator kompromi (IOC) yang diperoleh FBI saat menanggapi serangan ransomware Maui sejak Mei 2021.

Mereka juga mendesak organisasi Sektor HPH untuk menerapkan mitigasi dan menerapkan serangkaian tindakan yang dibagikan dalam penasihat bersama untuk mempersiapkan, mencegah, dan menanggapi insiden ransomware.

Paling tidak, pembela jaringan disarankan untuk melatih pengguna untuk menemukan dan melaporkan upaya phishing, mengaktifkan dan menerapkan otentikasi multi-faktor di seluruh organisasi mereka, dan selalu memperbarui perangkat lunak antivirus dan antimalware di semua host.

Agen federal juga “sangat tidak menganjurkan” korban untuk membayar tuntutan tebusan dari pelaku ancaman di balik serangan ransomware Maui dan mengingatkan organisasi HPH tentang nasihat yang dikeluarkan oleh Departemen Keuangan mengenai risiko sanksi yang terkait dengan pembayaran ransomware.

Aktivitas ransomware Maui (ID-Ransomware)

Peretas Korea Utara menargetkan jurnalis dengan malware baru

by

Peretas yang disponsori negara Korea Utara yang dikenal sebagai APT37 telah ditemukan menargetkan jurnalis yang berspesialisasi di DPRK dengan jenis malware baru.

Malware ini didistribusikan melalui serangan phishing yang pertama kali ditemukan oleh NK News, sebuah situs berita Amerika yang didedikasikan untuk meliput berita dan menyediakan penelitian dan analisis tentang Korea Utara, menggunakan intelijen dari dalam negeri.

Kelompok peretas APT37, alias Ricochet Chollima, diyakini disponsori oleh pemerintah Korea Utara, yang melihat pelaporan berita sebagai operasi permusuhan, dan berusaha menggunakan serangan ini untuk mengakses informasi yang sangat sensitif dan berpotensi mengidentifikasi sumber jurnalis.

Stairwell menemukan sampel malware baru bernama “Goldbackdoor,” yang dinilai sebagai penerus “Bluelight.”

Perlu dicatat bahwa ini bukan pertama kalinya APT37 dikaitkan dengan kampanye malware yang menargetkan jurnalis, dengan yang terbaru adalah laporan November 2021 yang menggunakan pintu belakang “Chinotto” yang sangat dapat disesuaikan.

Email phishing tersebut berasal dari akun mantan direktur National Intelligence Service (NIS) Korea Selatan, yang sebelumnya dikompromikan oleh APT37.

Proses infeksi dua tahap (Stairwell)

Email yang dikirim ke jurnalis berisi tautan untuk mengunduh arsip ZIP yang memiliki file LNK, keduanya bernama ‘editan Kang Min-chol’. Kang Min-chol adalah Menteri Industri Pertambangan Korea Utara.

File LNK (pintasan Windows) disamarkan dengan ikon dokumen dan menggunakan bantalan untuk meningkatkan ukurannya secara artifisial menjadi 282,7 MB, menghalangi pengunggahan yang mudah ke Total Virus dan alat deteksi online lainnya.

Setelah dieksekusi, skrip PowerShell meluncurkan dan membuka dokumen umpan (doc) untuk gangguan saat mendekode skrip kedua di latar belakang.

Skrip PowerShell pertama yang digunakan dalam serangan (Stairwell)

Dokumen umpan berisi gambar eksternal tertanam yang dihosting di platform Heroku, yang memperingatkan pelaku ancaman saat dokumen dilihat.

Tautan pelacak tertanam dalam dokumen (Stairwell)

Skrip kedua mengunduh dan menjalankan muatan shellcode yang disimpan di Microsoft OneDrive, layanan hosting file berbasis cloud yang sah yang tidak mungkin menghasilkan peringatan AV.

Payload ini disebut “Fantasy,” dan menurut Stairwell, ini adalah yang pertama dari dua mekanisme penggelaran Goldbackdoor, keduanya mengandalkan injeksi proses tersembunyi.

Goldbackdoor dijalankan sebagai file PE (portable executable) dan dapat menerima perintah dasar dari jarak jauh dan mengekstrak data.

Untuk ini, ia datang dengan satu set kunci API yang digunakan untuk mengautentikasi ke Azure dan mengambil perintah untuk dieksekusi. Perintah-perintah ini terkait dengan keylogging, operasi file, RCE dasar, dan kemampuan untuk menghapus instalasi itu sendiri.

Malware menggunakan layanan cloud yang sah untuk eksfiltrasi file, dengan Stairwell memperhatikan penyalahgunaan Google Drive dan Microsoft OneDrive.

File yang ditargetkan oleh Goldbackdoor terutama dokumen dan media, seperti PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP, dan MSG.

Meskipun ini adalah kampanye yang sangat bertarget, penemuan, paparan, dan aturan deteksi yang dihasilkan serta hash file yang tersedia di laporan teknis Stairwell masih signifikan bagi komunitas infosec.

Sumber: Bleeping Computer