Cyberthreat.id – Microsoft memberitahu perusahaan penerbangan dan travel mengenai kampanye RAT (Remote Access Trojan) yang bertujuan mencuri informasi sensitif  perusahaan terkait dari jarak jauh.

Dikutip dari Info Security Magazine yang diakses Minggu (16 Mei 2021), Microsoft mengatakan pihaknya telah melacak sebuah operasi siber selama beberapa bulan melalui serangkaian email spear-phishing yang dirancang untuk mengirimkan loader yang dikembangkan secara aktif.

Berdasarkan tangkapan layar yang diposting di Twitter Intelijen Keamanan Microsoft, kampanye ini menggunakan email phishing yang memalsukan organisasi yang sah dan meminta penawaran untuk sewa kargo.

“Gambar yang menyamar sebagai file PDF berisi tautan yang disematkan (biasanya menyalahgunakan layanan web resmi) yang mengunduh VBScript berbahaya, yang menjatuhkan muatan RAT,” ungkap Microsoft.

Sumber: Twitter

Menurut Microsoft, RAT tersebut terhubung ke server C2 yang dihosting di situs hosting dinamis, lalu menggunakan PowerShell berenkode UTF-8 dan teknik tanpa file untuk mengunduh tiga tahap tambahan dari pastebin[.]Com atau situs serupa.

Trojan tersebut akan terus – menerus menjalankan ulang komponen sampai mereka dapat disuntikkan ke dalam proses seperti RegAsm, InstallUtil, atau RevSvcs. Mereka kemudian akan mencuri kredensial, tangkapan layar dan data webcam, data browser dan papan klip, sistem dan jaringan, dan sering mengeksfiltrasi data melalui Port SMTP 587.

“Loader yang menjatuhkan RAT itu diidentifikasi oleh Morphisec minggu lalu sebagai layanan crypter-as-a-service "sangat canggih" yang dijuluki Snip3.”

Microsoft mengatakan, kampanye ini menampilkan beberapa metode melewati deteksi oleh alat keamanan, termasuk penggunaan Pastebin dan Top4top, Windows Sandbox dan VMWare, menjalankan kode PowerShell dengan parameter "remotesigned", dan menyusun pemuat RunPE pada titik akhir saat runtime.

Hal ini didukung dengan klaim Microsoft yang mengatakan bahwa produk 365 Defender-nya mendeteksi beberapa komponen serangan, tetapi mendesak organisasi di sektor yang ditargetkan untuk memeriksa apakah mereka telah terpengaruh. Ini menerbitkan daftar permintaan berburu sehingga organisasi dapat memeriksa aktivitas serupa, email, implan, dan indikator serangan lainnya.[]

Editor: Yuswardi A. Suud