Gelombang kampanye spear-phishing baru-baru ini memanfaatkan dokumen Word bertema Windows 11 Alpha yang dipersenjatai dengan makro Visual Basic untuk menjatuhkan muatan berbahaya.
Termasuk implan JavaScript, terhadap penyedia layanan point-of-sale (PoS) yang berlokasi di Amerika.
Menurut para peneliti dari perusahaan keamanan siber Anomali, serangan ini diyakini terjadi antara akhir Juni hingga akhir Juli 2021 dan dikaitkan dengan “moderate confidence” kepada aktor ancaman dengan motivasi finansial yang dijuluki FIN7.
“Penargetan yang ditentukan dari domain Clearmind sangat cocok dengan modus operandi yang disukai FIN7,” kata Anomali Threat Research dalam analisis teknis yang diterbitkan pada 2 September.
“Tujuan grup ini adalah untuk memberikan variasi backdoor JavaScript yang digunakan oleh FIN7 sejak 2018.”
Grup Eropa Timur yang aktif sejak pertengahan 2015, FIN7 memiliki sejarah yang berubah-ubah dalam menargetkan industri restoran, perjudian dan perhotelan di Amerika.
Untuk menjarah informasi keuangan seperti nomor kartu kredit dan debit yang kemudian digunakan atau dijual untuk keuntungan di pasar bawah tanah.
Meskipun beberapa anggota kolektif telah dipenjara dikarenakan peran mereka dalam kampanye yang berbeda sejak awal tahun, kegiatan FIN7 telah dikaitkan dengan kelompok lain yang disebut Carbanak.
Mengingat TTP yang serupa dengan perbedaan utamanya, FIN7 lebih berfokus pada sektor perhotelan dan ritel, Carbanak telah memilih lembaga perbankan.
Dalam serangan terbaru yang diamati oleh Anomali, infeksi dimulai dengan maldoc Microsoft Word yang berisi gambar yang konon telah “dibuat pada Windows 11 Alpha.”
Gambar ini mendesak penerima untuk mengaktifkan makro guna memicu tahap aktivitas berikutnya, melibatkan eksekusi makro VBA yang sangat digelapkan untuk mengambil muatan JavaScript yang pada gilirannya, ditemukan fungsi yang sama dengan backdoor lain yang digunakan oleh FIN7.
Selain mengambil beberapa langkah untuk mencoba menghalangi analisis dengan mengisi kode menggunakan junk file, skrip VB juga memeriksa apakah sistem ini berjalan di bawah lingkungan tervirtualisasi seperti VirtualBox dan VMWare.
Jika demikian, hal tersebut bisa menghentikan dirinya sendiri, selain menghentikan rantai infeksi, setelah mendeteksi bahasa Rusia, Ukraina atau beberapa bahasa Eropa Timur lainnya.
Atribusi backdoor ke FIN7 berasal dari tumpang tindih dalam teknik yang diadopsi oleh aktor ancaman, termasuk penggunaan muatan berbasis JavaScript untuk menjarah informasi berharga.
“FIN7 adalah salah satu kelompok motivasi finansial paling terkenal karena sejumlah besar data sensitif yang mereka curi melalui berbagai teknik dan permukaan serangan,” kata para peneliti.
“Hal-hal seperti ini telah bergejolak bagi kelompok ancaman selama beberapa tahun terakhir karena kesuksesan dan ketenaran selalu menjadi perhatian pihak berwenang.
Terlepas dari penangkapan dan hukuman tingkat tinggi, termasuk dugaan anggota berpangkat lebih tinggi, kelompok itu terus aktif seperti biasa.”
Mencegah Backdoor Javascript
Bitdefender Gravityzone, mulai dari versi Advanced Business Security memantau daftar proses yang diketahui digunakan dalam melakukan fileless attacks.
Daftar ini mencakup proses seperti autoit.exe, bitsadmin.exe, cscript.exe, java.exe, javaw.exe, miprvse.exe, net.exe, netsh.exe, powershell.exe, powershell_ise.exe, py.exe, python.exe, regedit.exe, regsvr32.exe, rundll32.exe, schtasks.exe, dan wscript.exe.
Ketika proses baru dimulai pada mesin yang dilindungi oleh teknologi Bitdefender, baris perintah akan diekstrak dan dikirim sebagai buffer ke mesin pemindai, menambah konteks pemindaian dengan informasi mengenai jalur proses asli dan proses induk.
Bitdefender memliki nilai tertinggi dalam deteksi APT, sesuai evaluasi yang dilakukan oleh Mitre Engenuity
Recent Comments