Sumber Asli: Intelijen Ancaman Keamanan Microsoft
Selama beberapa tahun terakhir, pasar mata uang kripto telah berkembang pesat, menarik minat investor dan pelaku ancaman. Mata uang kripto sendiri telah digunakan oleh penjahat dunia maya untuk operasi mereka, terutama untuk pembayaran tebusan dalam serangan ransomware, namun kami juga mengamati pelaku ancaman yang secara langsung menargetkan organisasi dalam industri mata uang kripto untuk mendapatkan keuntungan finansial. Serangan yang menargetkan pasar ini terjadi dalam berbagai bentuk, termasuk penipuan, eksploitasi kerentanan, aplikasi palsu, dan penggunaan pencuri informasi, ketika penyerang berupaya mendapatkan dana mata uang kripto.
Kami juga melihat serangan yang lebih kompleks di mana pelaku ancaman menunjukkan pengetahuan dan persiapan yang baik, mengambil langkah-langkah untuk mendapatkan kepercayaan target mereka sebelum mengerahkan muatan. Misalnya, Microsoft baru-baru ini menyelidiki serangan di mana pelaku ancaman, yang dilacak sebagai DEV-0139, memanfaatkan grup obrolan Telegram untuk menargetkan perusahaan investasi mata uang kripto. DEV-0139 bergabung dengan grup Telegram yang digunakan untuk memfasilitasi komunikasi antara klien VIP dan platform pertukaran mata uang kripto dan mengidentifikasi target mereka dari antara para anggota. Pelaku ancaman menyamar sebagai perwakilan dari perusahaan investasi mata uang kripto lainnya, dan pada bulan Oktober 2022 mengundang target ke grup obrolan lain dan berpura-pura meminta umpan balik mengenai struktur biaya yang digunakan oleh platform pertukaran mata uang kripto. Pelaku ancaman memiliki pengetahuan yang lebih luas mengenai bagian spesifik industri ini, yang menunjukkan bahwa mereka sudah sangat siap dan sadar akan tantangan yang mungkin dihadapi perusahaan sasaran saat ini.
Setelah mendapatkan kepercayaan target, DEV-0139 kemudian mengirimkan file Excel yang dipersenjatai dengan nama OKX Binance & Huobi VIP fee comparion.xls yang berisi beberapa tabel tentang struktur biaya antar perusahaan pertukaran mata uang kripto. Data dalam dokumen tersebut kemungkinan besar akurat untuk meningkatkan kredibilitas mereka. File Excel yang dipersenjatai ini memulai serangkaian aktivitas berikut:
Makro berbahaya dalam file Excel yang dipersenjatai menyalahgunakan UserForm VBA untuk mengaburkan kode dan mengambil beberapa data.
Makro berbahaya menjatuhkan lembar Excel lain yang tertanam dalam formulir dan menjalankannya dalam mode tak terlihat. Lembar Excel tersebut dikodekan dalam base64, dan dimasukkan ke C:\ProgramData\Microsoft Media\ dengan nama VSDB688.tmp
File VSDB688.tmp mengunduh file PNG yang berisi tiga executable: file Windows sah bernama logagent.exe, versi berbahaya dari DLL wsock32.dll, dan pintu belakang berkode XOR.
File logagent.exe digunakan untuk melakukan sideload wsock32.dll yang berbahaya, yang bertindak sebagai proxy DLL ke wsock32.dll yang sah. File DLL berbahaya digunakan untuk memuat dan mendekripsi pintu belakang berkode XOR yang memungkinkan pelaku ancaman mengakses sistem yang terinfeksi dari jarak jauh.
Gambar 1. Gambaran umum serangan tersebut
Penyelidikan lebih lanjut melalui telemetri kami mengarah pada penemuan file lain yang menggunakan teknik proksi DLL yang sama. Namun alih-alih dalam bentuk file Excel yang berbahaya, file tersebut dikirimkan dalam paket MSI untuk aplikasi CryptoDashboardV2, tertanggal Juni 2022. Hal ini mungkin menunjukkan bahwa kampanye terkait lainnya juga dijalankan oleh pelaku ancaman yang sama, dengan menggunakan teknik yang sama.
Dalam postingan blog ini, kami akan menyajikan detail yang terungkap dari investigasi kami terhadap serangan terhadap perusahaan investasi mata uang kripto, serta analisis file terkait, untuk membantu organisasi serupa memahami ancaman semacam ini, dan bersiap menghadapi kemungkinan serangan. Para peneliti di Volexity baru-baru ini juga menerbitkan temuan mereka tentang serangan ini.
Seperti halnya aktivitas aktor negara yang diamati, Microsoft secara langsung memberi tahu pelanggan yang telah menjadi sasaran atau disusupi, sehingga memberikan informasi yang mereka perlukan untuk mengamankan akun mereka. Microsoft menggunakan sebutan DEV-#### sebagai nama sementara yang diberikan kepada kelompok aktivitas ancaman yang tidak diketahui, muncul, atau berkembang, sehingga memungkinkan Microsoft Threat Intelligence Center (MSTIC) melacaknya sebagai kumpulan informasi unik hingga kami mencapai puncaknya. keyakinan mengenai asal usul atau identitas pelaku di balik kegiatan tersebut. Setelah memenuhi kriteria, DEV diubah menjadi aktor bernama.
Kompromi awal
Untuk mengidentifikasi target, pelaku ancaman mencari anggota kelompok investasi mata uang kripto di Telegram. Dalam serangan spesifik tersebut, DEV-0139 menghubungi targetnya pada 19 Oktober 2022 dengan membuat grup Telegram sekunder dengan nama <NameOfTheTargetedCompany> <> Penyesuaian Biaya OKX dan mengundang tiga karyawan. Pelaku ancaman membuat profil palsu menggunakan rincian dari karyawan perusahaan OKX. Tangkapan layar di bawah menunjukkan akun asli dan akun jahat untuk dua pengguna yang ada di grup.
Gambar 2. Profil resmi karyawan bursa mata uang kripto (kiri) dan profil palsu yang dibuat oleh pelaku ancaman (kanan)
Perlu dicatat bahwa pelaku ancaman tampaknya memiliki pengetahuan luas tentang industri mata uang kripto dan tantangan yang mungkin dihadapi perusahaan target. Pelaku ancaman mengajukan pertanyaan tentang struktur biaya, yaitu biaya yang digunakan oleh platform pertukaran kripto untuk perdagangan. Biaya merupakan tantangan besar bagi dana investasi karena mewakili biaya dan harus dioptimalkan untuk meminimalkan dampak terhadap margin dan keuntungan. Seperti banyak perusahaan lain di industri ini, biaya terbesar berasal dari biaya yang dibebankan oleh bursa. Ini adalah topik yang sangat spesifik yang menunjukkan bagaimana pelaku ancaman sudah maju dan siap sebelum menghubungi target mereka.
Setelah mendapatkan kepercayaan dari target, pelaku ancaman mengirim dokumen Excel yang dipersenjatai ke target yang berisi rincian lebih lanjut mengenai biaya agar tampak sah. Pelaku ancaman menggunakan diskusi struktur biaya sebagai kesempatan untuk meminta target membuka file Excel yang dipersenjatai dan mengisi informasi mereka.
Analisis file Excel yang dipersenjatai
File Excel yang dipersenjatai, yang memiliki nama file OKX Binance & Huobi VIP fee comparion.xls (Sha256: abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0), dibuat dengan baik dan berisi informasi sah tentang biaya saat ini yang digunakan oleh beberapa bursa kripto. Metadata yang diekstrak menunjukkan bahwa file tersebut dibuat oleh pengguna Wolf:
Gambar 3. Informasi dalam file Excel berbahaya
Makro dikaburkan dan menyalahgunakan UserForm (fitur yang digunakan untuk membuat jendela) untuk menyimpan data dan variabel. Dalam hal ini, nama UserForm adalah IFUZYDTTOP, dan makro mengambil informasi dengan kode berikut IFUZYDTTOP.MgQnQVGb.Caption di mana MgQnQVGb adalah nama label di UserForm dan .caption memungkinkan untuk mengambil informasi yang disimpan ke dalam UserForm .
Tabel di bawah ini menunjukkan data yang diambil dari UserForm:
Makro mengambil beberapa parameter dari UserForm serta file XLS lain yang disimpan di base64. File XLS dimasukkan ke direktori C:\ProgramData\Microsoft Media sebagai VSDB688.tmp dan berjalan dalam mode tak terlihat.
Gambar 4. Kode yang di-deobfuscate untuk memuat lembar kerja yang diekstraksi dalam mode tak terlihat.
Selain itu, lembar utama dalam file Excel dilindungi dengan kata sandi naga untuk mendorong target mengaktifkan makro. Lembar tersebut kemudian tidak terlindungi setelah menginstal dan menjalankan file Excel lainnya yang disimpan di Base64. Hal ini kemungkinan digunakan untuk mengelabui pengguna agar mengaktifkan makro dan tidak menimbulkan kecurigaan.
Lembar kerja yang diekstraksi
File Excel kedua, VSDB688.tmp (Sha256: a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9), digunakan untuk mengambil file PNG yang kemudian diuraikan oleh makro untuk mengekstrak dua file yang dapat dieksekusi dan pintu belakang terenkripsi. Di bawah ini adalah metadata untuk lembar kerja kedua:
Gambar 5. File kedua benar-benar kosong tetapi berisi teknik penyalahgunaan UserForm yang sama seperti tahap pertama.
Tabel di bawah ini menunjukkan data yang tidak dikaburkan yang diambil dari UserForm:
Makro mengambil beberapa parameter dari UserForm lalu mengunduh file PNG dari hxxps://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png. File tersebut tidak lagi tersedia pada saat analisis, yang menunjukkan bahwa pelaku ancaman kemungkinan besar menyebarkannya hanya untuk serangan spesifik ini.
Gambar 6. Kode yang tidak disamarkan yang menunjukkan pengunduhan file Background.png
PNG kemudian dibagi menjadi tiga bagian dan ditulis dalam tiga file berbeda: file sah logagent.exe, versi berbahaya wsock32.dll, dan pintu belakang terenkripsi XOR dengan GUID (56762eb9-411c-4842-9530-9922c46ba2da). Ketiga file tersebut digunakan untuk memuat muatan utama ke sistem target.
Gambar 7. Ketiga file tersebut ditulis ke C:\\ProgramData\SoftwareCache\ dan dijalankan menggunakan CreateProcess API
Analisis pemuat
Dua dari tiga file yang diekstraksi dari file PNG, logagent.exe dan wsock32.dll, digunakan untuk memuat pintu belakang terenkripsi XOR. Bagian berikut menyajikan analisis mendalam kami terhadap kedua file tersebut.
Logagent.exe
Logagent.exe (Hash: 8400f2674892cdfff27b0dfe98a2a77673ce5e76b06438ac6110f0d768459942) adalah aplikasi sistem sah yang digunakan untuk mencatat kesalahan dari Windows Media Player dan mengirimkan informasi untuk pemecahan masalah.
File berisi metadata berikut, namun tidak ditandatangani:
Logagent.exe mengimpor fungsi dari wsock32.dll yang disalahgunakan oleh pelaku ancaman untuk memuat kode berbahaya ke sistem target. Untuk memicu dan menjalankan wsock32.dll yang berbahaya, logagent.exe dijalankan dengan argumen berikut yang sebelumnya diambil oleh makro: 56762eb9-411c-4842-9530-9922c46ba2da /shadow. Kedua argumen tersebut kemudian diambil oleh wsock32.dll. GUID 56762eb9-411c-4842-9530-9922c46ba2da adalah nama file untuk memuat wsock32.dll berbahaya dan /shadow digunakan sebagai kunci XOR untuk mendekripsinya. Kedua parameter tersebut diperlukan agar malware dapat berfungsi, sehingga berpotensi menghambat analisis terisolasi.
Gambar 8. Eksekusi baris perintah dari proses yang berjalan logagent.exe
Wsock32.dll
Wsock32.dll yang sah adalah Windows Socket API yang digunakan oleh aplikasi untuk menangani koneksi jaringan. Dalam serangan ini, pelaku ancaman menggunakan versi berbahaya wsock32.dll untuk menghindari deteksi. Wsock32.dll yang berbahaya dimuat oleh logagent.exe melalui pemuatan samping DLL dan menggunakan proksi DLL untuk memanggil fungsi sah dari wsock32.dll yang asli dan menghindari deteksi. Proksi DLL adalah teknik pembajakan di mana DLL berbahaya berada di antara aplikasi yang memanggil fungsi yang diekspor dan DLL sah yang mengimplementasikan fungsi yang diekspor tersebut. Dalam serangan ini, wsock32.dll yang berbahaya bertindak sebagai proxy antara logagent.exe dan wsock32.dll yang sah.
Anda dapat mengetahui bahwa DLL meneruskan panggilan ke fungsi yang sah dengan melihat tabel alamat impor:
Gambar 9. Impor Tabel Alamat dari
Gambar 10. Mengambil data dengan PeStudio mengungkapkan nama file asli untuk wsock32.dll yang berbahaya.
Ketika wsock32.dll berbahaya dimuat, pertama-tama ia mengambil baris perintah, dan memeriksa apakah file dengan GUID sebagai nama file ada di direktori yang sama menggunakan CreateFile API untuk mengambil pegangan file.
Gambar 11. Verifikasi keberadaan file 56762eb9-411c-4842-9530-9922c46ba2da untuk dekripsi
Wsock32.dll yang berbahaya memuat dan menerjemahkan implan terakhir ke dalam memori dengan nama GUID yang digunakan untuk mengakses mesin yang terinfeksi dari jarak jauh.
Setelah file dimuat ke dalam memori, file tersebut memberikan akses jarak jauh ke pelaku ancaman. Pada saat analisis, kami tidak dapat mengambil muatan akhir. Namun, kami mengidentifikasi varian lain dari serangan ini dan mengambil muatannya, yang akan dibahas di bagian selanjutnya. Implan yang teridentifikasi terhubung kembali ke server perintah dan kontrol (C2) yang sama.
Serangan terkait
Kami mengidentifikasi file lain menggunakan mekanisme serupa seperti logagent.exe dan mengirimkan muatan yang sama. Pemuat dikemas sebagai paket MSI dan seperti yang ditimbulkan oleh aplikasi bernama CryptoDashboardV2 (Hash: e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487). Setelah menginstal MSI, MSI menggunakan aplikasi resmi bernama tplink.exe untuk melakukan sideload DLL berbahaya bernama DUser.dll dan juga menggunakan proxy DLL.
Gambar 12. Detail instalasi file MSI
Setelah paket diinstal, ia menjalankan dan memuat DLL menggunakan perintah berikut: C:\Users\user\AppData\Roaming\Dashboard_v2\TPLink.exe” 27E57D84-4310-4825-AB22-743C78B8F3AA /sven, di mana ia terasa menggunakan GUID yang berbeda.
Analisis lebih lanjut terhadap DUser.dll yang berbahaya menunjukkan bahwa nama aslinya juga HijackingLib.dll, sama dengan wsock32.dll yang berbahaya. Hal ini dapat mengindikasikan penggunaan alat yang sama untuk membuat proxy DLL berbahaya ini. Di bawah ini adalah detail file DUser.dll:
Setelah DLL berjalan, DLL memuat dan mendekode implan di memori dan mulai mengirimkan sinyal ke domain yang sama. Dalam hal ini, implan menggunakan nama GUID 27E57D84-4310-4825-AB22-743C78B8F3AA dan kunci XOR /sven.
Analisis implan
Payload yang didekodekan dalam memori oleh DLL berbahaya adalah implan yang digunakan oleh pelaku ancaman untuk mengakses mesin yang disusupi dari jarak jauh. Kami bisa mendapatkannya dari varian kedua yang kami temukan. Berikut rincian muatannya:
Detail deteksi
Antivirus Pertahanan Microsoft
Microsoft Defender Antivirus mendeteksi komponen ancaman sebagai malware berikut:
Pengunduh Trojan:O97M/Wolfic.A
Pengunduh Trojan:O97M/Wolfic.B
Pengunduh Trojan:O97M/Wolfic.C
Pengunduh Trojan:Win32/Wolfic.D
Pengunduh Trojan:Win32/Wolfic.E
Perilaku: Win32/WolficDownloader.A
Perilaku: Win32/WolficDownloader.B
Pertahanan Microsoft untuk Titik Akhir
Peringatan dengan judul berikut di pusat keamanan dapat menunjukkan aktivitas ancaman di jaringan Anda:
Eksekusi memuat dll yang tidak terduga
Pembajakan perintah pencarian DLL
Malware 'Wolfic' telah dicegah
