Bug Microsoft Geriatrik Dieksploitasi oleh APT Menggunakan RAT Komoditas

An APT yang digambarkan sebagai “serigala tunggal” mengeksploitasi kelemahan Microsoft Office yang berusia puluhan tahun untuk mengirimkan rentetan RAT komoditas ke organisasi di India dan Afghanistan, menurut temuan para peneliti.

Attacker menggunakan domain jahat bertema politik dan pemerintah sebagai umpan dalam kampanye , yang menargetkan perangkat seluler dengan RAT yang siap pakai seperti dcRAT dan QuasarRAT untuk Windows dan AndroidRAT. Mereka mengirimkan RAT dalam dokumen berbahaya dengan mengeksploitasi CVE-2017-11882, menurut laporan yang diterbitkan Selasa oleh Cisco Talos.

Grup ancaman – yang dilacak oleh Cisco Talos dari awal tahun hingga musim panas – menyamar di balik front yang tampaknya sah, menyamar sebagai perusahaan IT Pakistan bernama Bunse Technologies, kata para peneliti.

CVE-2017-11882 lebih dari 20 -kerentanan korupsi memori berusia tahun di Microsoft Office yang bertahan selama 17 tahun sebelum perusahaan menambalnya pada tahun 2017. Namun, baru-baru ini dua tahun lalu, penyerang terlihat mengeksploitasi bug, yang memungkinkan mereka untuk menjalankan kode berbahaya secara otomatis tanpa memerlukan pengguna interaksi.

Ancaman persisten lanjutan (APT) di belakang kampanye juga menggunakan enumerator dan infector file khusus dalam fase pengintaian dari serangan dua langkah, diikuti oleh fase kedua yang ditambahkan di versi kampanye yang lebih baru yang menyebarkan muatan RAT pamungkas, kata peneliti.

Untuk meng-host muatan malware, aktor ancaman mendaftarkan beberapa domain dengan tema politik dan pemerintah yang digunakan untuk menipu vic tims, khususnya yang terkait dengan upaya diplomatik dan kemanusiaan di Afghanistan untuk menargetkan entitas di negara itu, kata para peneliti.

“Kampanye ini adalah contoh klasik dari aktor ancaman individu yang menggunakan tema politik, kemanusiaan, dan diplomatik dalam kampanye untuk mengirimkan malware komoditas ke korban” – dalam hal ini, RAT “dikemas dengan berbagai fungsi untuk mencapai kontrol penuh atas titik akhir korban,” tulis Asheer Malhotra dari Cisco Talos dalam postingan tersebut.

Manfaat Luar Biasa

Kampanye ini mencerminkan tren yang meningkat oleh penjahat dunia maya dan APT untuk menggunakan RAT komoditas alih-alih malware khusus terhadap korban karena sejumlah alasan, kata para peneliti. fungsionalitas -box, termasuk kemampuan pengintaian awal, eksekusi perintah sewenang-wenang dan eksfiltrasi data, catat para peneliti. RAT juga “bertindak sebagai landasan peluncuran yang sangat baik untuk menyebarkan malware tambahan terhadap korban mereka,” tulis Malhotra.

Menggunakan malware komoditas juga menghemat waktu dan investasi sumber daya penyerang dalam mengembangkan malware khusus, karena RAT memiliki fitur stok yang memerlukan perubahan konfigurasi minimal, para peneliti kata.

Dalam posting mereka, peneliti merinci proses serangan dua tahap serta spesifikasi setiap RAT yang mereka amati digunakan penyerang dalam kampanye. Fungsionalitas RAT bervariasi tergantung pada muatan, kata mereka, tetapi umumnya mencakup kemampuan seperti cangkang jarak jauh, manajemen proses, manajemen file, keylogging, eksekusi perintah sewenang-wenang, dan pencurian kredensial.

Infeksi dan Pengintaian Awal

Rantai infeksi terdiri dari fase pengintaian yang dimulai dengan kejahatan Dokumen RTF dan skrip PowerShell yang pada akhirnya mendistribusikan malware ke korban.

Secara khusus, aktor ancaman menggunakan RTF untuk mengeksploitasi bug Office dan menjalankan perintah PowerShell berbahaya yang mengekstrak dan mengeksekusi skrip PowerShell tahap berikutnya. Skrip tersebut kemudian base64 mendekodekan muatan lain – dalam kasus yang diamati peneliti, itu adalah pemuat yang dapat dieksekusi – dan mengaktifkannya pada titik akhir yang terinfeksi, tulis Malhotra. kemudian mengkompilasi kode C# yang di-hardcode ke dalam rakitan yang dapat dieksekusi. Ini kemudian memanggil titik masuk untuk kode berbahaya yang dikompilasi – enumerator dan infector file khusus yang disebutkan sebelumnya – yang ditemukan peneliti.

Kode C# ini – yang merupakan muatan terakhir dalam fase pengintaian – berisi enumerator file, yang mencantumkan jenis file tertentu pada endpoint dan mengirimkan jalur file ke server command-and-control (C2) bersama dengan modul file infector, yang berbeda dari infector executable biasa yang biasanya terlihat di alam liar, kata Malhotra.

“Modul ini digunakan untuk menginfeksi dokumen Office jinak dengan objek OLE berbahaya untuk mempersenjatai mereka untuk mengeksploitasi CVE-2017-11882,” tulisnya.

Attack Phase

Peneliti mengamati penyerang mengubah taktik untuk menyebarkan RAT komoditas sebagai muatan terakhir mulai Juli, kata mereka.

Untuk melakukan ini, penyerang mengubah sedikit proses pengintaian untuk memanfaatkan skrip PowerShell tahap kedua untuk membuat file BAT pada disk, kata para peneliti. File itu, pada gilirannya, akan menjalankan perintah PowerShell lain untuk mengunduh dan mengaktifkan muatan RAT pada titik akhir yang terinfeksi, mengambilnya dari salah satu situs yang disiapkan penyerang. “Sejauh ini, kami telah mengamati pengiriman tiga jenis muatan dari lokasi terpencil yang ditemukan dalam fase kampanye ini: DcRAT, QuasarRAT, dan salinan sah klien desktop jarak jauh AnyDesk,” tulis Malhotra.

Penggunaan yang terakhir payload “menunjukkan fokus pada operasi manual di mana aktor akan masuk ke perangkat yang terinfeksi untuk melihat apakah akses itu bernilai apa pun,” menurut writeup.

Secara keseluruhan, taktik APT yang digunakan dalam kampanye menunjukkan “agresif proliferasi” sebagai tujuannya, karena penggunaan malware bawaan yang dikombinasikan dengan infeksi file khusus memberi mereka titik masuk langsung ke jaringan korban, menurut pengamatan Malhotra.

“Organisasi harus tetap waspada terhadap ancaman semacam itu yang sangat berbahaya. termotivasi untuk berkembang biak menggunakan mekanisme otomatis,” tulisnya.

Namun, tampaknya grup tersebut pada akhirnya akan meninggalkan penggunaan malware komoditas untuk alat yang dipesan lebih dahulu, yang berarti mungkin akan ada lebih banyak kampanye ancaman di masa depan, kata para peneliti.

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

%d bloggers like this: