Cyberthreat.id – Peneliti keamanan telah menemukan kampanye baru yang menargetkan beberapa kontraktor militer yang terlibat dalam pembuatan senjata, termasuk pemasok komponen pesawat tempur F-35 Lightning II.

Melansir Bleeping Computer, Serangan yang sangat bertarget dimulai dengan email phishing yang dikirim ke karyawan, yang mengarah ke infeksi multi-tahap yang melibatkan banyak sistem penghindaran deteksi dan ketekunan.

Kampanye ini menonjol karena infrastruktur C2 yang aman dan beberapa lapisan kebingungan di tahapan PowerShell.

Analis di Securonixdiscovered menemukan serangan tersebut tetapi tidak dapat mengaitkan kampanye tersebut dengan pelaku ancaman yang diketahui, meskipun beberapa kesamaan dengan serangan APT37 (Konni) sebelumnya disebutkan dalam laporan tersebut.

Targetkan Karyawan

Email phishing yang menargetkan karyawan menyertakan lampiran ZIP yang berisi file pintasan ("Perusahaan & Manfaat.pdf.lnk"), yang, setelah dieksekusi, terhubung ke C2 dan meluncurkan rangkaian skrip PowerShell yang menginfeksi sistem dengan malware.

Menariknya, file pintasan tidak menggunakan alat "cmd.exe" atau "powershell.exe" yang sering disalahgunakan tetapi sebaliknya bergantung pada perintah "C:\Windows\System32\ForFiles.exe" yang tidak biasa untuk menjalankan perintah.

Langkah selanjutnya adalah mengungkap rantai eksekusi PowerShell tujuh tahap yang ditandai dengan kebingungan berat yang menggunakan banyak teknik.

Teknik obfuscation yang dilihat oleh analis Securonix adalah reordering/symbol obfuscation, IEX obfuscation, byte value obfuscation, raw compression, reordering, string replacement, dan backtick obfuscation.

Selain itu, skrip memindai daftar proses yang terkait dengan perangkat lunak debugging dan pemantauan, memeriksa apakah tinggi layar di atas 777 piksel dan memori di atas 4 GB untuk menghindari kotak pasir, dan memverifikasi bahwa sistem telah diinstal lebih dari tiga hari yang lalu.

Jika salah satu dari pemeriksaan ini gagal, skrip akan menonaktifkan adaptor jaringan sistem, mengonfigurasi Firewall Windows untuk memblokir semua lalu lintas, menghapus semua yang ada di semua drive yang terdeteksi, lalu mematikan komputer.

Satu-satunya kasus ketika malware keluar tanpa menyebabkan kerusakan apa pun adalah ketika bahasa sistem diatur ke Rusia atau Cina.

Jika semua pemeriksaan berhasil, skrip akan melanjutkan dengan menonaktifkan Pencatatan Blok Skrip PowerShell dan menambahkan pengecualian Windows Defender untuk file ".lnk," ".rar," dan ".exe" dan juga untuk direktori yang penting untuk fungsi malware.

Kegigihan dicapai melalui beberapa metode, termasuk menambahkan kunci Registry baru, menyematkan skrip ke dalam tugas terjadwal, menambahkan entri baru di direktori Startup, dan juga langganan WMI.

Setelah stager PowerShell menyelesaikan proses, muatan akhir terenkripsi AES ("header.png") diunduh dari C2.

"Meskipun kami dapat mengunduh dan menganalisis file header.png, kami tidak dapat memecahkan kodenya karena kami yakin kampanye telah selesai dan teori kami adalah bahwa file tersebut diganti untuk mencegah analisis lebih lanjut," jelas para peneliti.

"Upaya kami untuk memecahkan kode muatan hanya akan menghasilkan data sampah."

Infrastruktur C2

Para analis menentukan bahwa domain yang digunakan untuk infrastruktur C2 yang mendukung kampanye ini terdaftar pada Juli 2022 dan dihosting di DigitalOcean.

Kemudian, pelaku ancaman memindahkan domain ke Cloudflare untuk memanfaatkan CDN dan layanan keamanannya, termasuk penyembunyian alamat IP, pemblokiran geografis, dan enkripsi HTTPS/TLS.

Beberapa domain C2 yang disebutkan dalam laporan termasuk "terma[.]wiki", "terma[.]ink", "terma[.]dev", "terma[.]app", dan "cobham-satcom.onrender[.] com".

Secara keseluruhan, kampanye ini terlihat seperti karya aktor ancaman canggih yang tahu cara terbang di bawah radar, jadi pastikan untuk memeriksa kueri perburuan dan membagikan IoC dalam laporan Securonix.