Ancaman email merupakan ancaman paling umum yang paling sering terjadi di dunia, metode ini sering digunakan karena murah meriah dan efektif. Seperti serangan phising faktur yang baru-baru ini begitu masif di dunia.
Salah satu pemicunya adalah TA866 yang muncul lagi setelah menghilang selama sembilan bulan. Serangan phising mereka dilakukan dalam jumlah besar.
TA866 dalam operasi phising pada awal bulan ini, mereka mengirimkan keluarga malware yang dikenal seperti WasabiSeed dan Screenshotter.
Operasi tersebut melibatkan pengiriman ribuan email bertema faktur yang berisi file PDF. PDF tersebut berisi URL OneDrive yang jika diklik akan memulai rantai infeksi multi-langkah.
Serangan tersebut pada akhirnya mengarah ke muatan malware, sebuah varian dari perangkat kustom WasabiSeed dan Screenshotter.
Awal Mula TA866
TA866 didokumentasikan pada bulan Februari 2023, menghubungkannya dengan operasi siber bernama Screentime yang mendistribusikan WasabiSeed, dropper skrip Visual Basic untuk mengunduh Screenshotter.
Screenshotter mampu mengambil tangkapan layar desktop korban secara berkala dan mengeksfiltrasi data tersebut ke domain yang dikontrol pelaku.
Ada bukti yang menunjukkan bahwa pelaku terorganisir mungkin termotivasi secara finansial karena fakta bahwa Screenshotter bertindak sebagai:
- Alat pengintaian untuk mengidentifikasi target bernilai tinggi untuk pasca-eksploitasi.
- Menggunakan bot berbasis AutoHotKey (AHK) untuk akhirnya menjatuhkan Rhadamanthys. pencuri informasi.
Temuan selanjutnya dari ESET pada bulan Juni 2023 menemukan adanya tumpang tindih antara Screentime dan kelompok intrusi lainnya yang disebut Asylum Ambuscade.
Asylum Ambuscade adalah kelompok perangkat kejahatan yang aktif setidaknya sejak tahun 2020 dan juga terlibat dalam operasi spionase dunia maya.
Rantai Serangan
Rantai serangan terbaru hampir tidak berubah kecuali peralihan dari lampiran Publisher yang mendukung makro ke PDF yang memuat tautan OneDrive berbahaya.
Dengan kampanye yang mengandalkan layanan spam yang disediakan oleh TA571 untuk mendistribusikan PDF jebakan.
TA571 adalah distributor spam, yang mengirimkan email spam bervolume tinggi untuk mengirimkan dan memasang malware untuk pelanggan penjahat siber mereka.
Malware yang mereka pasang adalah termasuk:
- AsyncRAT.
- NetSupport RAT.
- IcedID.
- PikaBot.
- QakBot (alias Qbot).
- DarkGate.
Yang terakhir memungkinkan penyerang melakukan berbagai perintah seperti pencurian informasi, penambangan mata uang kripto, dan eksekusi program sewenang-wenang.
Dari beberapa operasi yang dideteksi, diketahui mereka menyebarkan loader yang dirancang untuk memulai DarkGate pada titik akhir yang disusupi.
File PDF berbahaya bertindak sebagai pembawa bagi penginstal MSI yang mengeksekusi arsip kabinet (CAB) untuk memicu eksekusi DarkGate melalui skrip loader AutoIT.
Darkgate pertama kali muncul pada tahun 2017 dan hanya dijual kepada sejumlah kecil kelompok penyerang dalam bentuk Malware-as-a-Service melalui forum bawah tanah.
DarkGate terus memperbaruinya dengan menambahkan fitur dan memperbaiki bug berdasarkan hasil analisis dari peneliti dan vendor keamanan.
Kelompok penjahat siber DarkGate juga menyoroti upaya berkelanjutan yang dilakukan oleh musuh untuk menerapkan teknik anti analisis untuk melewati deteksi.
Tren Serangan Email
Secara umum, tren tahunan menunjukkan bahwa email-email ini mengikuti tren tertentu sepanjang tahun dengan tingkat volume yang bervariasi, dengan volume paling signifikan terjadi pada bulan Juni, Oktober, dan November.
Perkembangan ini juga mengikuti penemuan taktik penghindaran baru yang memanfaatkan mekanisme caching produk keamanan
Untuk menyiasatinya dengan memasukkan URL Call to Action (CTA) yang mengarah ke situs web tepercaya dalam pesan phising yang dikirim ke individu yang ditargetkan.
Strategi mereka melibatkan penyimpanan versi vektor serangan yang tampaknya tidak berbahaya dan kemudian mengubahnya untuk mengirimkan muatan berbahaya.
Serangan semacam itu secara tidak proporsional menargetkan sektor jasa keuangan, manufaktur, ritel, dan asuransi di Italia, Amerika Serikat, dan Perancis. , Australia, dan India.
Saat URL tersebut dipindai oleh mesin keamanan, URL tersebut ditandai sebagai aman, dan keputusannya disimpan dalam cache selama jangka waktu tertentu.
Ini juga berarti bahwa jika URL ditemukan lagi dalam jangka waktu tersebut, URL tersebut tidak diproses ulang, dan sebagai gantinya, hasil cache akan disajikan.
Diketahui pelaku memanfaatkan kekhasan ini dengan menunggu hingga vendor keamanan memproses URL CTA dan menyimpan keputusan mereka dalam cache, lalu mengubah tautan untuk mengalihkan ke halaman phising yang dimaksud.
Dengan putusan yang tidak berbahaya, email tersebut dengan lancar masuk ke kotak masuk korban. Sekarang, jika penerima yang tidak menaruh curiga memutuskan untuk membuka email dan mengklik link/tombol di dalam URL CTA, mereka akan diarahkan ke halaman berbahaya.
Baca lainnya:
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
- Dominasi Business Email Compromise
- Investigasi Serangan Phising
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
Sumber berita:
Prosperita IT News