Malware PowerPepper DeathStalker Hacker Group Menghindari Deteksi AV

  • Whatsapp
Malware PowerPepper DeathStalker Hacker Group Menghindari Deteksi AV
Malware PowerPepper DeathStalker Hacker Group Menghindari Deteksi AV
Malware PowerPepper Baru DeathStalker Hacker Group Menghindari Deteksi Antivirus untuk Melewati Windows

Peneliti mengungkap kampanye Malvertising PowerPepper baru dari kelompok aktor ancaman DeathStalker yang aktif sejak 2012, dan secara aktif menyerang berbagai organisasi di seluruh dunia dengan motivasi finansial.

Grup DeathStalker tidak cocok dengan grup kejahatan dunia maya tradisional, para peneliti percaya bahwa grup tersebut beroperasi sebagai layanan hack-for-hire.

Penyerang memanfaatkan teknik penghindaran anti-deteksi dan antivirus untuk menghindari deteksi dan menggunakan metode yang disebut “dead-drop resolvers” (DDR) yang membantu penyerang menghosting konten mereka yang disamarkan yang dihosting di layanan web publik utama seperti YouTube, Twitter, Reddit untuk menargetkan korban.

PowerPepper menganggap implan yang sebelumnya tidak dikenal yang memanfaatkan DNS melalui HTTPS sebagai saluran C2 dan melihat secara luas yang menyerang berbagai organisasi pada Juni 2020.

Serangan menggunakan kampanye phishing tombak untuk menargetkan korban dan menggunakan dokumen Word untuk menjatuhkan muatan, dan malware terus beroperasi dan berkembang.

Proses Operasi dan Infeksi PowerPepper

Penyerang dengan cerdik mengoperasikan malware PowerPepper, dan itu adalah backdoor PowerShell dalam memori Windows yang dapat mengeksekusi dari jarak jauh.

Selain itu, memanfaatkan berbagai teknik seperti mendeteksi gerakan mouse, memfilter alamat MAC klien, dan mengadaptasi aliran eksekusinya untuk menghindari deteksi AV dan eksekusi kotak pasir.

Server perintah dan kontrol yang digunakan untuk kampanye ini didasarkan pada komunikasi melalui DNS melalui HTTPS (DoH). untuk membuat permintaan DoH ke server C2, PowerPepper awalnya mencoba memanfaatkan Microsoft Excel sebagai klien Web kemudian kembali ke klien web standar PowerShell.

Penyerang mengandalkan enkripsi AES untuk memastikan konten komunikasi C2 antara implan dan server dienkripsi.

Rantai Pengiriman PowerPepper

DeathStalker menggunakan dua jenis Rantai Pengiriman yang berbeda yaitu rantai pengiriman berbasis Makro dan rantai pengiriman berbasis LNK.

Rantai pengiriman berbasis makro terungkap kembali pada Juli 2020 melalui dokumen Word berbahaya tetapi para peneliti tidak dapat mengidentifikasi bahwa bagaimana dokumen berbahaya ini telah didistribusikan dan percaya bahwa item tersebut disematkan sebagai badan email spear-phishing atau diunduh dari tautan jahat dalam email spear-phishing seperti yang dikatakan sebelumnya.

Menurut Kaspersky’s laporanrantai pengiriman berbasis LNK adalah berbasis file pintasan Windows, dan sangat mirip dengan berbasis makro, tetapi ada dua perubahan besar.

  • logika makro berbahaya dipindahkan ke skrip PowerShell berbahaya, dan yang pertama langsung disematkan di file pintasan, sehingga tidak ada lagi makro VBA;
  • dokumen Word dari rantai ini hanyalah paket penyimpanan file umpan dan berbahaya, dan diunduh dari lokasi yang jauh (layanan berbagi file publik) alih-alih langsung disematkan di suatu tempat.

Ada 6 trik berikut yang digunakan oleh PowerPepper ini untuk melakukan serangan sukses yang bisa Anda baca selengkapnya di sini.

  1. sembunyikan hal-hal di properti bentuk yang disematkan Word (dan buat komentar makro menjadi menyenangkan lagi)
  2. gunakan file Windows Compiled HTML Help (CHM) sebagai arsip untuk file berbahaya
  3. menyamarkan dan mengaburkan file persisten
  4. sembunyikan implan Anda di antara dua pakis…
  5. tersesat dalam terjemahan perintah shell Windows
  6. mulailah semuanya dengan eksekusi proxy biner yang ditandatangani

Menurut laporan pelacakan, penyerang menargetkan beberapa negara di seluruh dunia, tetapi para peneliti tidak dapat secara tepat mengidentifikasi target PowerPepper, tetapi firma hukum dan konsultan sering menjadi sasaran aktor tersebut.

Tindakan Pencegahan

  • Host konten dapat secara teratur memindai file yang dihosting untuk menemukan konten berbahaya, jika peraturan mengizinkan.
  • Pemilik dan editor situs web harus memperbarui backend CMS mereka secara berkala dan responsif serta plugin terkait.
  • Pastikan perlindungan pada akses istimewa dan jarak jauh, dengan pemfilteran alamat jaringan klien, MFA, dan pencatatan akses di semua titik akhir backend.
  • Pengguna jaringan perusahaan sangat disarankan untuk membatasi tautan mesin skrip PowerShell dan menyiapkan perangkat lunak perlindungan titik akhir di komputer pengguna akhir dan server konten.
  • Latih karyawan dan pastikan mereka tidak pernah membuka pintasan Windows yang diunduh dari lokasi jauh atau dilampirkan ke email, membuka lampiran atau mengeklik tautan di email dari pengirim yang tidak dikenal, atau mengaktifkan makro di dokumen dari sumber yang tidak diverifikasi.

Indikator kompromi

Berkas hash

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *