TrickBot Menggunakan Penginstal Bogus 1Password untuk Meluncurkan Cobalt Strike

  • Whatsapp
TrickBot Menggunakan Penginstal Bogus 1Password untuk Meluncurkan Cobalt Strike

 

Institute AV-TEST mencatat sekitar 450.000 program kritis baru (malware) setiap hari dengan beberapa aplikasi yang mungkin tidak diinginkan (PUA). Ini diperiksa secara menyeluruh oleh tim mereka di bawah parameter karakteristik dan diklasifikasikan sesuai.
Malware adalah file atau kode yang dihasilkan jaringan yang menginfeksi, memindai, mengeksploitasi, atau secara praktis melakukan aktivitas apa pun yang diinginkan penyerang.
Salah satu malware yang lazim adalah Trickbot yang pertama kali terlihat pada tahun 2016. Trickbot telah memantapkan dirinya di dunia maya sebagai malware modular dan multiguna. Operator Trickbot awalnya berfokus pada operasi pencurian kredensial bank dan kemudian memperluas keterampilan mereka untuk menyerang beberapa industri. Dengan kemajuan lebih lanjut, Trickbot terungkap karena partisipasinya dalam serangan ransomware, menggunakan malware Ryuk dan Conti.
Baru-baru ini, ditemukan bahwa Trickbot menggunakan teknik untuk menginstal “pengelola kata sandi 1Password” palsu untuk merusak dan mengumpulkan data di PC korban. Cara pertama untuk melakukannya adalah dengan file arsip Microsoft Word atau Excel yang dilindungi kata sandi dengan makro, yang akan membahayakan perangkat yang ditargetkan jika diaktifkan. Bagi penjahat untuk mengumpulkan informasi tentang beberapa komputer jaringan, penginstal file 1Password palsu dengan judul “Setup1.exe” juga biasa digunakan untuk meluncurkan Cobalt Strike.
1Password adalah pengelola kata sandi yang dikembangkan oleh AgileBits Inc. Ini menawarkan pengguna tempat di kekosongan digital yang diamankan dengan kata sandi utama PBKDF2, untuk menyimpan beberapa kata sandi, lisensi Perangkat Lunak, dan materi rahasia tambahan.
Sehubungan dengan itu, Laporan DFIR menyatakan, “Muatan Trickbot menyuntikkan dirinya ke dalam proses sistem wermgr.exe — proses Windows yang bertanggung jawab atas pelaporan kesalahan. Pelaku ancaman kemudian menggunakan utilitas Windows bawaan seperti net.exe, ipconfig.exe, dan nltest.exe untuk melakukan pengintaian internal. Dalam dua menit setelah aktivitas penemuan, otentikasi WDigest diaktifkan (dinonaktifkan secara default di Windows 10) di registri pada host yang terinfeksi. Ini memaksa informasi kredensial untuk disimpan dalam teks yang jelas dalam memori. Tak lama setelah menerapkan modifikasi registri ini, proses LSASS dibuang ke disk menggunakan alat Sysinternals ProcDump.”
Pemasang palsu yang sama ini juga menghilangkan file yang memungkinkan eksekusi kode shell Cobalt Strike (CS) dan karenanya menerima suar CS. Karena program memungkinkan koneksi tidak sah ke sistem korban, perintah PowerShell digunakan untuk mengumpulkan data tentang PC korban, seperti “status anti-virus” mereka.
Cobalt Strike adalah kerangka uji penetrasi komersial yang membantu agen yang disebut ‘Beacon’ untuk digunakan oleh penyerang di jaringan korban. Beacon memiliki berbagai fungsi termasuk eksekusi perintah, keylogging, transfer data, proxy SOCKS, skala hak istimewa, pemindaian port, dan gerakan lateral.
Sementara itu, seperti yang digarisbawahi peneliti, materi yang diperoleh tidak tersaring dan motif kelompok masih belum pasti. Jika lebih banyak kemajuan dicatat dalam waktu dekat, mereka akan terus memperbarui semua orang di dalamnya, kata para peneliti.
Akibatnya, peneliti keamanan siber harus mencari pendekatan untuk memastikan bahwa fasilitas pelanggan mereka aman dari teknik ini, karena geng dapat memulai kembali serangan ke jaringan lain kapan saja.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *