Peretas APT28 Rusia Mengirim Malware Zebrocy melalui File VHD

  • Whatsapp
Peretas APT28 Rusia Mengirim Malware Zebrocy melalui File VHD
Peretas APT Rusia Mengirim Malware Zebrocy melalui File VHD
Malware Zebrocy melalui File VHD

Perusahaan keamanan Intezer mengungkapkan umpan phishing COVID-19 yang digunakan untuk mengirimkan Zebrocy versi Go. Zebrocy terutama digunakan untuk melawan pemerintah dan organisasi komersial yang terlibat dalam urusan luar negeri.

Iming-iming itu berupa dokumen tentang Sinopharm International Corporation, perusahaan farmasi yang vaksin COVID-19-nya saat ini sedang menjalani uji klinis fase tiga.

Sementara banyak vaksin COVID-19 hampir disetujui untuk penggunaan klinis, kemungkinan besar, APT (Advanced Persistent Threat) dan pelaku ancaman yang bermotivasi finansial akan menggunakan malware ini dalam serangan mereka.

Malware Zebrocy melalui File VHD

Zebrocy adalah malware yang digunakan oleh kelompok ancaman Sofacy, juga disebut sebagai Sednit, APT28, Fancy Bear, dan STRONTIUM. Sofacy adalah salah satu kelompok ditunjukkan oleh Departemen Kehakiman (DOJ) atas kompromi Komite Nasional Demokrat (DNC).

Zebrocy berfungsi sebagai pengunduh dan mengumpulkan informasi tentang host yang terinfeksi yang diunggah ke server command and control (C&C) sebelum mengunduh dan menjalankan tahap selanjutnya.

Versi pertama pengunduh ditulis dalam Delphi dan didasarkan pada a malware sebelumnya digunakan oleh Sofacy. Sampel Zebrocy ditulis dalam AutoIT, C++, C#, Delphi, Go, dan VB.NET telah menemukan oleh riset masyarakat.

Pengiriman Zebrocy biasanya melalui spear-phishing surel. Email tersebut menyertakan dokumen Microsoft Office atau file arsip.

Analisis Teknis

Intezer menemukan file Virtual Hard Drive (VHD) bernama 30-22-243.vhd yang diunggah dari Azerbaijan ke platform pemindaian VirusTotal. VHD adalah format file asli untuk hard drive virtual yang digunakan oleh hypervisor Microsoft, Hyper-V. Windows 10 memiliki dukungan asli untuk format file dan memungkinkan pengguna untuk memasang file dan mengakses kontennya.

Jika pengguna mengklik dua kali pada file tersebut, Windows akan memasang drive dan muncul sebagai hard drive eksternal (seperti yang ditunjukkan pada gambar 2).

Isi file VHD

Ini berisi dua file: File PDF dan file yang dapat dieksekusi yang disembunyikan sebagai dokumen Microsoft Word. Para peneliti mengamati file PDF terdiri dari slide presentasi tentang Perusahaan Internasional Sinopharm.

“Kelompok ancaman di belakang Zebrocy menggunakan iming-iming bertema COVID-19 ketika banyak vaksin akan disetujui untuk digunakan. Grup diketahui menggunakan peristiwa terkini sebagai bagian dari umpan phishing mereka”, kata laporan Intezer.

Peneliti keamanan Intezer menemukan versi Go lain dari Zebrocy, yang digunakan dalam serangan sebelumnya, serta file VHD kedua yang diunggah ke VirusTotal pada bulan Oktober, dan menghapus malware versi Delphi. Iming-iming PDF dalam file ini ditulis dalam bahasa Rusia.

Kata Akhir

“Dengan iming-iming phishing baru-baru ini, jelas bahwa serangan bertema COVID-19 masih menjadi ancaman dan kita mungkin melihat lebih banyak karena vaksin tersedia untuk masyarakat umum. Perusahaan harus menggunakan strategi pertahanan mendalam untuk melindungi dari ancaman. Pemberi kerja juga harus memastikan karyawannya terlatih untuk mendeteksi dan bereaksi terhadap upaya phishing,” simpul Intezer.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk Cybersecurity harian, dan pembaruan berita peretasan.

Baca juga

Pentingnya Cybersecurity di Dunia Pasca-COVID-19

Peretas Menggunakan Umpan Pelatihan COVID-19 untuk Menyerang Pengguna Office 365

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *