IND | ENG
Phantom in Command Shell, Operasi Malware Menyerang Sektor Finansial via Google Drive

Ilustrasi

Phantom in Command Shell, Operasi Malware Menyerang Sektor Finansial via Google Drive
Arif Rahman Diposting : Senin, 11 Mei 2020 - 07:04 WIB

Cyberthreat.id - Pekan lalu peneliti di Prevailion melaporkan operasi Malware yang dikenal sebagai Phantom in Command Shell. Operasi ini menargetkan perusahaan keuangan di seluruh dunia menggunakan malware Evilnum yang didistribusikan kepada para korban menggunakan tautan berbagi Google Drive.

Skenarionya adalah korban mengklik tautan berbagi Google Drive mengunduh file arsip zip berbahaya ke host. Saat di-dekompresi, file tersebut memberikan akses ke file shortcut Microsoft (LNK) yang menyamar sebagai file JPEG atau PDF. 

Menurut blog Prevailion, set umpan pertama menggunakan elemen Know Your Customer (KYC) dasar (misalnya SIM, kartu kredit, dokumen sejarah kredit, dan lain-lain). Sedangkan sub kluster kedua termasuk dokumen yang tampaknya menyamar sebagai organisasi jasa keuangan yang mapan, dan mereferensikan rencana kepatuhan mereka tergadap GDPR 2020.

Mengingat sifat umpan ini yang khusus KYC, diasumsikan bahwa upaya ini ditargetkan ke lembaga keuangan tertentu daripada spamming berskala besar dan luas.

Setelah file dalam arsip dibuka, komponen jahat, file "o.js" dijatuhkan (dropped). File ini ditulis menggunakan bahasa Phantom dan merupakan malware tradisional berbasis trojan.

Ini mengumpulkan informasi host Windows menggunakan Windows Management Instrumentation (WMI) dan berkomunikasi dengan server Command and Control (C2) untuk menerima perintah dan mengekspor data.

Strategi Mitigasi

Untuk membantu mengurangi kampanye Phantom, peneliti dari Herjavec Group memberikan sejumlah rekomendasi sebagai berikut:

1. Memblokir Indicators of Compromise (IOC) seperti yang tersedia di bawah artikel.

2. Cari secara proaktif untuk IOC tambahan yang relevan di SIEM dan melalui pencarian kembali.

3. Pantau kotak masuk, nama pengguna, email dengan rajin dan jangan klik tautan atau lampiran yang mencurigakan untuk mengurangi ancaman yang ditimbulkan oleh serangan phishing.

Untuk pelanggan SPM yang ada, HG dapat membantu secara proaktif menerapkan strategi mitigasi yang disarankan.

Berikut Indikator of Compromise (IOC) dalam operasi Phantom in Command Shell yang meliputi:

GDrive URLs

  • hxxps://drive[.]google[.]com/uc?auth_user=0&id=1KjJy7FCn-4IN7rsOSwWmSab3xVfY-wNn&export=download
  • hxxps://docs[.]google[.]com/uc?authuser=0&id=1TROQjDFvR1pw7QckQq1TUVnOYUK6tR6Q&export=download

Zip Files

  • 0f4b51dafe6bd75bce2cfbd1fe16d1af91fd958084e23b526671b4e05423f9ee
  • 97aa67531305da6fb73198fabd05b0592705c427519670a218d68d9def83f764
  • 83f1af96b4a15b3b8ec7490de83555000800779d6456ccd017ba02623704f80c

Microsoft ShortCut (Lnk) Files

  • 9666285017da522bc193fdfa89ecec0ebb8f382aed04260f9c3dc6520bcb23b5
  • b89cc69c63894c4b263be5a7b7390d3f8500a8ed4834882a7282ebca301e528e
  • 951ca0adc511173018277b090a9eae3fb389092e095dbc4a0c9b67181dc43d1b
  • 7c0e1b2c7bfab05f69cb8f2412e8c6423549ca8d675fcb092c196e6710e6cad6
  • 4930874f700dd81bff1c0f2ec7a8f55741987e102be8164bdc4aad6ea97062cb 
  • 1bd7598549a967fe6df9c79a173e3f6c6721ec21088e5e1543e2865436cce284 
  • 88537039a4b87ff55ef9a57c21f728ecf90e40e532486913d763e16db04ccac4 
  • 01f1f23649920e30d510f6ae48e370c82dd57ce0817d12f649615d7188c9b0e2 
  • ca23b0c263652259fc9163d9981033913c9aa3d51a23b1e43f145ca0e0960a30 
  • Ceb892d73cbfea205239dab384101305a957bfd675486a126787a74068c1ddea
  • 83e5eeb549543e16f98eb26d848194baa8273d5e0408c72222999535f91434fe 
  • 4e734713911d2bcb1ba9da2752e529387fe176aa2da0c043593c412e7dec1ade 
  • Bb8b6c6b9b157b093ba5ff60ec5e9e9268b3efa4ebd46a403859a4d65d21cce7
  • 7d643b369be21f07be4893097084e685f8ea7583d01f19ece6ee3bb86cec062e
  • 69d94240bf1b3dae168934be93d742e2b5e41c2767b4573ccabf3c79c8a017d4
  • E06ab6b87c4977c4ee30f3925dd935764a0ec0da11458aca4308da61b8027d76
  • 79ddc62bcab8efaef586c7e4202fa6a40a82a37571cbab309812602f7a03162b

Core Agent

  • Javascript agent version 4.0
    • 75ae7bbdbfccde37a545a6b316e885e9a6d1ecf3c069fa48594a6db6f30c41d0
  • Javascript agent version 3.6
    • 8c770d3424324030887fd6efcd7b989129f1430b8dafb482372240e93c009a24
    • 951ca0adc511173018277b090a9eae3fb389092e095dbc4a0c9b67181dc43d1b
  • Javascript agent version 3.5
    • ba4ca5ae0aeb7916a6b08320830bb48c756f7ebaa281431e1311cb66dba3bca0
    • 8100351010C260A7BDC2D283065097140418B5A33CF682F902E793FFAED263D4
  • Media.reg
    • 9FEE4514F8B3027AD045E67EE8D80317DD2AFBF7A996C97F47C216EAD011B070
  • MediaIE.reg
    • 6cc5a6ce509a7bbbcaeab1f0635c8b14cbd6a5503cde799de3163fbf70221301

C2 Retrieval URLs

  • hxxps://gitlab[.]com/bliblobla123/testingtesting/-/raw/master/README.md
  • hxxps://www.digitalpoint[.]com/members/bliblobla.943007/
  • hxxps://gitlab[.]com/jhondeer123/test/raw/master/README.md
  • hxxps://www.digitalpoint[.]com/members/johndeer123.923670/
  • hxxps://gitlab[.]com/jhondeer123/test/raw/master/test.py

Command and Control Node

  • hxxp://139.28.37[.]63
  • hxxp://185.62.190[.]89
  • hxxp://185.62.190[.]218

 

#Malware   #Phantom   #CommandShell   #evilnun   #sektorfinansial   #infrastrukturkritis   #googledrive   #jpeg

Share:




BACA JUGA
Awas, Serangan Phishing Baru Kirimkan Keylogger yang Disamarkan sebagai Bank Payment Notice
Kamis, 28 Maret 2024 - 18:30 WIB
Malware Manfaatkan Plugin WordPress Popup Builder untuk Menginfeksi 3.900+ Situs
Selasa, 12 Maret 2024 - 19:08 WIB
CHAVECLOAK, Trojan Perbankan Terbaru
Selasa, 12 Maret 2024 - 14:21 WIB
Paket PyPI Tidak Aktif Disusupi untuk Menyebarkan Malware Nova Sentinel
Sabtu, 24 Februari 2024 - 17:02 WIB
Penjahat Siber Persenjatai Alat SSH-Snake Sumber Terbuka untuk Serangan Jaringan
Jumat, 23 Februari 2024 - 16:08 WIB