SquirrelWaffle Loader Malspam, Packing Qakbot, Cobalt Strike

Posted on by Syauqi Wiryahasana

SquirrelWaffle, pemuat malware baru, melakukan mal-spamming dokumen Microsoft Office berbahaya untuk mengirimkan malware Qakbot dan alat pengujian penetrasi Cobalt Strike – dua ancaman paling umum yang diamati secara teratur menargetkan organisasi di seluruh dunia. Peneliti

Cisco Talos mengatakan pada hari Selasa bahwa mereka mengetahui kampanye malspam yang dimulai pada pertengahan September, ketika mereka melihat dokumen Office yang dijebak bekerja untuk menginfeksi sistem dengan SquirrelWaffle pada tahap awal rantai infeksi. mirip dengan cara kerja malware Emotet yang ganas – biasanya menyebar melalui email atau pesan teks berbahaya. “Kampanye itu sendiri menampilkan beberapa karakteristik serupa dengan kampanye yang sebelumnya terlihat terkait dengan ancaman yang sudah ada seperti Emotet,” jelas peneliti Cisco Talos.



“Karena prevalensi kampanye ini, organisasi harus menyadari SQUIRRELWAFFLE dan cara penggunaannya oleh penyerang untuk lebih jauh mengkompromikan jaringan perusahaan,” saran mereka.

Email SquirrelWaffle biasanya berisi hyperlink ke arsip ZIP berbahaya yang dihosting di server web yang dikendalikan penyerang, kata para peneliti. Contoh salah satu email malspam ditunjukkan di bawah ini.
Contoh email malspam SquirrelWaffle. Sumber: Cisco Talos.

Sebagian besar pesan – 76 persen – ditulis dalam bahasa Inggris. Tetapi bahasa yang digunakan dalam pesan balasan bergeser agar sesuai dengan apa yang digunakan di utas email asli, "menunjukkan bahwa ada beberapa lokalisasi yang terjadi secara dinamis," kata Cisco Talos. Selain bahasa Inggris, lima bahasa teratas yang digunakan juga termasuk bahasa Prancis, Jerman, Belanda, dan Polandia.

Tidak Selalu Menjadi Kacang Termasak di Sarang

Tupai ini tidak selalu mengambil biji yang ditakdirkan untuk tumbuh menjadi pohon ek yang megah dan menghasilkan uang. Para peneliti mengatakan bahwa, “konsisten dengan ancaman lain yang juga memanfaatkan utas email yang dicuri,” SquirrelWaffle mengambil beberapa kesempatan dalam memilih rantai email mana yang akan dibajak.

Mereka memberikan contoh berikut, di mana penyerang membalas pesan email pemerasan – pilihan yang mungkin “tidak efektif dalam meyakinkan penerima untuk mengakses konten di badan email,” peneliti meremehkan.
Mal-spam penyerang SquirrelWaffle membalas email pemeras. Sumber: Cisco Talos.

SquirrelWaffle Tidak Berlari Sekencang Emotet – Namun

SquirrelWaffle tidak seproduktif Emotet – setidaknya, belum, meskipun terus berkembang. Cisco Talos membagikan grafik, ditunjukkan di bawah, yang menggambarkan volume kampanye antara 1 September dan 15 Oktober.
Volume kampanye SquirrelWaffle dilacak dari 1 September hingga 15 Oktober 2021. Sumber: Cisco Talos.

“Sementara volume terkait dengan kampanye ini belum mencapai tingkat yang sama seperti yang terlihat sebelumnya dengan ancaman seperti Emotet, tampaknya cukup konsisten dan dapat meningkat seiring waktu karena musuh menginfeksi lebih banyak pengguna dan meningkatkan ukuran botnet mereka,” prediksi Cisco Talos.

Malspam O -Matic

Dalam menganalisis kampanye, peneliti menemukan beberapa karakteristik yang menunjuk ke dokumen Office berbahaya yang kemungkinan dibuat menggunakan pembuat otomatis. Misalnya, dalam kampanye baru-baru ini, "spreadsheet Microsoft Excel dibuat untuk membuat analisis statis dengan alat seperti XLMDeobfuscator menjadi kurang efektif," kata mereka.

File paling awal dikirimkan ke penyimpanan malware publik pada 10 September. Tiga hari kemudian, kampanye volume mulai meningkat dan "telah ditandai dengan spam harian yang berjalan diamati sejak saat itu," menurut writeup.

Tanda-tanda lebih lanjut bahwa itu mulai dihidupkan dengan pembuat otomatis: "Struktur URL dari server distribusi SQUIRRELWAFFLE tampaknya agak terkait dengan kampanye harian, dan digilir setiap beberapa hari,” menurut analisis tersebut. Cisco Talos memberikan contoh tabel, yang ditunjukkan di bawah, yang menggambarkan perbedaan dalam halaman arahan URL yang terlihat selama beberapa hari. Linimasa
SquirrelWaffle. Sumber: Cisco Talos.

“Rotasi ini juga tercermin dalam makro maldoc itu sendiri, dengan nama fungsi makro dan hash berputar pada saat yang sama,” tambah para peneliti.

Bagaimana Tupai Berkedut

Korban yang jatuh cinta pada email dan mengklik tautan mereka akhirnya mengunduh arsip ZIP berbahaya yang berisi file Microsoft Office yang tercemar, yang telah dibagi rata antara dokumen Word dan spreadsheet Excel. Peringatan: Ini adalah ancaman yang berkembang secara aktif, dan peneliti telah melihat pelaku ancaman beralih dari ketergantungan awal pada penggunaan dokumen Word ke penggunaan spreadsheet Excel yang hampir eksklusif.

Dalam kampanye email sebelumnya yang menggunakan dokumen Word berbahaya, peneliti melihat aktor ancaman rapikan dokumen sehingga tampak seperti terkait dengan platform berbagi dan penandatanganan dokumen DocuSign: pilihan populer untuk menangani transaksi resmi. File Word berbahaya seharusnya terlihat seperti terkait dengan DocuSign. Sumber: Cisco Talos.

Bagaimanapun, file Office, baik itu .DOC atau .XLS, memunculkan komponen tahap berikutnya, yang merupakan payload SquirrelWaffle.

Dalam semua kampanye SquirrelWaffle yang terlihat sejauh ini, tautan curang digunakan untuk meng-host arsip ZIP berisi kata-kata Latin dan mengikuti struktur URL yang mirip dengan ini:

abogados-en-medellin[.]com/odit-error/assumenda[.]zip

Tetapi dalam banyak kasus, kampanye menyertakan arsip ZIP terpisah yang di-host di direktori berbeda pada domain yang sama. Di dalam arsip ZIP, file Office yang berbahaya sering mengikuti konvensi penamaan yang mirip dengan contoh berikut:
    chart-118790052.xlsdiagram-127.docdiagram_1017101088.xlsSpesifikasi-1001661454.xls

Mereka Menendang Server Saat Kampanye Distribusi Malware Sudah Turun

melompat ke server web yang sebelumnya telah disusupi: terutama yang menjalankan versi WordPress, dengan versi yang paling sering disusupi adalah WordPress 5.8.1.

Peneliti juga mengidentifikasi satu kasus “SQL dump yang terkait dengan panel AZORult yang ada di host yang sama digunakan sebagai Server C2 oleh SQUIRRELWAFFLE,” kata mereka.

Mereka tidak dapat mengetahui apakah pelaku yang bertanggung jawab adalah ancaman yang sama atau apakah server telah diserang secara berkelompok oleh banyak pelaku: “Seperti yang sering terjadi pada server rentan yang terpapar ke internet, tidak jelas apakah panel ini dikelola oleh aktor ancaman yang sama atau apakah server hanya dikompromikan dihilangkan oleh beberapa entitas yang tidak terkait,” kata Cisco Talos.

Perubahan Malware Lainnya…

Cisco Talos mengatakan bahwa meskipun ancaman SquirrelWaffle relatif baru, cara kerjanya – termasuk kampanye distribusi, infrastruktur, dan implementasi command-and-control (C2) – memiliki banyak kesamaan dengan yang terlihat dari aktor ancaman lain yang lebih mapan.

“Organisasi harus terus menggunakan kontrol keamanan pertahanan mendalam yang komprehensif untuk memastikan bahwa mereka dapat mencegah, mendeteksi, atau menanggapi kampanye SQUIRRELWAFFLE yang mungkin ditemui di lingkungan mereka ,” mereka merekomendasikan.

TENTANG EMKA.WEB>ID

EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

©2024 emka.web.id Proudly powered by wpStatically