Cyberthreat.id – Para peneliti dari perusahaan keamanan Cisco Talos menemukan kampanye jahat pada Agustus 2022 yang mengandalkan teknik serangan termodulasi untuk mengirimkan suar Cobalt Strike dan menggunakannya dalam serangan lanjutan.

Dikutip dari Info Security, perusahaan tersebut menerbitkan peringatan baru tentang kampanye  yang mengatakan bahwa pelaku ancaman di belakangnya menggunakan email phishing yang meniru organisasi pemerintah di AS atau serikat pekerja di Selandia Baru dengan lampiran dokumen Microsoft Word yang berbahaya sebagai vektor serangan awal mereka.

Lampiran berbahaya kemudian akan mencoba mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE) (dilacak CVE–2017–0199) di Microsoft Office.

“Jika seorang korban membuka maldoc, ia mengunduh templat dokumen Word berbahaya yang dihosting di repositori Bitbucket yang dikendalikan penyerang,” tulis Cisco Talos.

Setelah infeksi awal, perusahaan keamanan mengatakan telah menemukan dua metodologi serangan yang digunakan oleh aktor ancaman dalam kampanye ini. Yang pertama melihat template DOTM yang diunduh mengeksekusi skrip Visual Basic (VB) berbahaya yang disematkan, yang mengarah pada pembuatan dan eksekusi skrip VB dan PowerShell lain yang dikaburkan.

Yang kedua, di sisi lain, melibatkan pengunduhan VB jahat dan menjalankan Windows yang dapat dieksekusi yang menjalankan perintah PowerShell berbahaya untuk mengunduh dan menanamkan muatan.

"Muatan yang ditemukan adalah versi bocor dari suar Cobalt Strike," demikian bunyi penasehat Talos.

Konfigurasi beacon berisi perintah untuk melakukan injeksi proses yang ditargetkan dari binari arbitrer dan memiliki domain reputasi tinggi yang dikonfigurasi, menunjukkan teknik pengalihan untuk menyamarkan lalu lintas beacon.

Sementara muatan utama yang ditemukan dalam kampanye ini adalah suar Cobalt Strike, Talos juga mengatakan bahwa pelaku ancaman menggunakan pencuri informasi Redline dan botnet Amadey yang dapat dielksekusi sebagai muatan.

"Kampanye ini adalah contoh tipikal aktor ancaman yang menggunakan teknik menghasilkan dan mengeksekusi skrip berbahaya di memori sistem korban," tulis Talos.

Selain itu, Talos memperingatkan organisasi untuk tetap waspada pada suar Cobalt Strike dan menerapkan pertahanan berlapis yang dirancang untuk menggagalkan upaya aktor ancaman pada tahap awal rantai infeksi serangan.

Anjuran tersebut muncul beberapa minggu setelah Group–IB mengungkapkan bahwa aktor ancaman persisten tingkat lanjut (APT) China yang dikenal sebagai APT41 menggunakan Cobalt Strike untuk menargetkan setidaknya 13 organisasi di seluruh dunia.