Peretas FIN7 Menggunakan Word Doc Bertema Windows 11 untuk Menyuntikkan Backdoor

  • Whatsapp
Peretas FIN7 Menggunakan Word Doc Bertema Windows 11 untuk Menyuntikkan Backdoor
Peretas FIN Menggunakan Word Doc Bertema Windows untuk Menyuntikkan
Peretas FIN7 Menggunakan Dokumen Word Bertema Windows 11 yang Dipersenjatai Untuk Menjatuhkan JavaScript Backdoor

Para peneliti menemukan dokumen kata yang dipersenjatai yang meniru tema Windows 11 Alpha berbahaya yang digunakan sebagai media untuk menjatuhkan muatan JavaScript dengan backdoor JavaScript.

FIN7 adalah kelompok ancaman APT yang diyakini berada di Eropa Timur yang aktif sejak 2015, dan kelompok ini dianggap sebagai salah satu kelompok peretasan terkenal yang menargetkan 100+ perusahaan yang terlibat dengan pencurian kartu kredit lebih dari 15 juta catatan kartu pembayaran yang merugikan organisasi di seluruh dunia. dunia sekitar satu miliar dolar (USD) kerugian.

Para peneliti menemukan dokumen kata yang dipersenjatai yang meniru tema Windows 11 Alpha berbahaya yang digunakan sebagai media untuk menjatuhkan muatan JavaScript dengan backdoor JavaScript.

Grup FIN7 yang beroperasi dengan nama berbeda termasuk Carbon Spider, Gold Niagara, Calcium, juga bekerja sama dengan “Carbanak” grup ancaman lain yang berbagi TTP dan backdoor mereka.

Grup ini baru datang dengan cara baru untuk menyerang target dengan menyalahgunakan pembaruan windows 11 terbaru dari Microsoft untuk menyuntikkan pintu belakang pada sistem windows menggunakan file dokumen Microsoft Word (.doc) berbahaya.

Analisis Teknis

Tahap awal rantai infeksi dimulai dengan phishing email atau kampanye spear-phishing yang berisi dokumen Microsoft Word (.doc) berbahaya bersama dengan gambar umpan yang menyamar sebagai Windows 11 Alpha.

Gambar tersebut menipu korban untuk Mengaktifkan Pengeditan dan Konten untuk melanjutkan ke tahap proses instalasi berikutnya, dan file yang disematkan dengan gambar tersebut berisi makro VBA. Setelah korban mengaktifkan konten tersebut, maka Macro akan langsung dieksekusi.

Peneliti dari Anomali ditemukan data sampah adalah taktik umum yang digunakan oleh pelaku ancaman untuk menghambat analisis. Setelah mereka menghapus data sampah ini, mereka dibiarkan dengan makro VBA.

VBA Makro tanpa Data Sampah

Penyerang juga mencegah eksekusi untuk beberapa negara termasuk Rusia, Ukraina, Sorbia, Slovakia, Slovenia, Estonia, Serbia, dan jika bahasa ini terdeteksi, fungsi me2XKr dipanggil yang menghapus tabel dan berhenti berjalan.

Juga mereka mencegah malware untuk dieksekusi pada mesin virtual dan menghentikan eksekusi setelah terdeteksi. Script juga memeriksa yang berikut: –

  • Nama domain, khususnya CLEARMIND (Gambar 9)
  • Bahasa, jika salah satu bahasa yang tercantum dalam Tabel 1
  • Reg Preferensi Bahasa Kunci untuk Rusia
  • Mesin virtual – VMWare, VirtualBox, innotek, QEMU, Oracle, Hyper dan Parallels, jika VM terdeteksi skrip dimatikan (Gambar 8)
  • Memori Tersedia, jika kurang dari 4GB maka jangan dilanjutkan
  • Periksa RootDSE melalui LDAP

Analisis Mendalam mengungkapkan string yang dikaburkan, setelah mengganti nilai yang dikaburkan dengan string yang disamarkan, fungsionalitas pintu belakang JavaScript diidentifikasi yang mirip dengan pintu belakang FIN7 lainnya.

Akhirnya, backdoor JavaScript dijalankan setelah terhubung ke bypassociation[.]com dengan memeriksa skrip untuk IP aktif untuk mengambil alamat MAC dan DNSHostName.

“Meskipun tidak memberikan atribusi yang solid, fungsi pemeriksaan bahasa dan tabel skornya menunjukkan kemungkinan lokasi geografis untuk pembuat file dokumen berbahaya ini”. kata peneliti.

Anda dapat mengumpulkan IOC dan alamat IP berbahaya di sini.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.