Grup Pro Hacking Berputar Ke Bentuk Baru Malware Dengan 'AndroMut', Menargetkan Informasi Keuangan Dan Bank Menggunakan Rekayasa Sosial

Grup peretas profesional dengan teknik canggih untuk mengeksekusi phishing dan bentuk serangan malware lainnya tampaknya mengubah arahnya. Dengan tujuan yang jelas untuk memprioritaskan kualitas daripada kuantitas, kelompok peretas TA505 yang terkenal telah berputar menggunakan bentuk baru kode berbahaya bernama AndroMut. Menariknya, malware tersebut tampaknya terinspirasi oleh Andromeda. Awalnya dirancang oleh kelompok peretasan lain, Andromeda adalah salah satu botnet malware terbesar di dunia baru-baru ini pada tahun 2017. Botnet berdasarkan kode Andromeda berhasil mengeksekusi pengiriman muatannya pada beberapa PC yang dicurigai dan rentan yang menjalankan Sistem Operasi Windows. AndroMut tampaknya sebagian besar didasarkan pada kode Andromeda yang menunjukkan kemungkinan kolaborasi antara kelompok peretas.

Salah satu kelompok penjahat dunia maya paling sukses di dunia, yang menyebut diri mereka TA505, tampaknya telah mengubah taktiknya. Sebagai bagian dari kampanye jahat terbaru untuk menyerang dan mencuri informasi keuangan, kelompok tersebut sibuk mendistribusikan bentuk malware baru. Alih-alih menargetkan sejumlah besar individu, sebagai bagian dari poros, grup TA505 tampaknya mengejar bank dan layanan keuangan lainnya. Kebetulan, titik masuk atau asalnya memang tetap sama, namun target dan fokus yang dituju tampak pada sektor keuangan yang terorganisir. Kebetulan, perusahaan keuangan di AS, Uni Emirat Arab, dan Singapura disarankan untuk waspada dan mencari konten yang mencurigakan. Beberapa poin paling umum dari serangan itu tetap berupa email yang terlihat resmi.

Grup TA505 Menggunakan Basis Andromeda Untuk Mengembangkan Dan Menyebarkan AndroMut

Kelompok TA505 yang terkenal tampaknya telah meningkatkan intensitasnya selama sebulan terakhir dan terus berlanjut dengan keganasan yang sama. Itu tidak lagi mencoba untuk menyebarkan gelombang serangan acak yang mencoba untuk mendapatkan kendali atas mesin korban. Dengan kata lain, email phishing massal bukan lagi taktik yang disukai. Sebaliknya, grup TA505 telah secara signifikan menurunkan volume serangan dan secara jelas telah beralih ke serangan yang lebih bertarget.

Berdasarkan analisis beberapa email yang dicurigai dan bentuk komunikasi dan media elektronik lainnya, peneliti keamanan siber di titik bukti telah mengindikasikan bahwa kelompok peretas tampaknya menargetkan karyawan bank dan penyedia layanan keuangan lainnya. Para peneliti juga telah menemukan penggunaan bentuk baru dari malware canggih. Para peneliti menyebutnya AndroMut dan telah menemukan bahwa malware tersebut memiliki beberapa kesamaan dengan Andromeda. Dirancang dan digunakan oleh kelompok peretas yang sama sekali berbeda, Andromeda telah menjadi salah satu jaringan botnet malware yang paling berhasil dieksekusi, berbahaya, dan salah satu jaringan terbesar di dunia. Hingga 2017, Andromeda menyebar dengan subur, dan berhasil menginstal sendiri pada PC rentan yang menjalankan sistem operasi Windows.

Bagaimana Grup TA505 Melakukan Serangan Malware?

Seperti kebanyakan serangan kelompok TA505 lainnya, malware AndroMut baru juga didistribusikan melalui email yang terlihat sah. Serangan phishing melibatkan email yang terlihat dan terasa sangat resmi dan otentik. Email tersebut biasanya mengklaim berisi faktur dan dokumen lain yang mengaku terkait dengan perbankan dan keuangan. Email yang digunakan dalam phishing sering kali dibuat dengan susah payah. Meskipun beberapa email berisi dokumen PDF populer, email phishing dari grup TA505 tampaknya mengandalkan dokumen Word.

https://twitter.com/rsz619mania/status/1146387091598667777

Setelah korban yang tidak curiga membuka dokumen Word yang dicampur, kelompok tersebut mengandalkan rekayasa sosial untuk melanjutkan serangan. Ini mungkin terdengar rumit, tetapi sebenarnya, serangan itu bergantung pada metode 'makro' yang agak kuno dalam dokumen Word. Target diberitahu bahwa informasi tersebut 'dilindungi' dan mereka perlu mengaktifkan pengeditan untuk melihat isinya. Melakukannya memungkinkan makro dan memungkinkan AndroMut dikirimkan ke mesin. Malware ini kemudian diam-diam mengunduh FlawedAmmyy. Setelah keduanya diinstal, mesin korban sepenuhnya dikompromikan.

Apa Itu AndroMut Dan Bagaimana Cara Kerja Malware Multi-Tahap?

TA505 saat ini menggunakan AndroMut sebagai tahap pertama dalam serangan dua tahap. Dengan kata lain, AndroMut adalah bagian pertama dari keberhasilan infeksi dan kontrol komputer korban. Setelah berhasil dalam penetrasi, AndroMut menggunakan infeksi untuk diam-diam menjatuhkan muatan kedua ke mesin yang disusupi. Payload kedua dari kode berbahaya disebut FlawedAmmyy. Pada dasarnya, FlawedAmmyy adalah Trojan atau RAT Remote Access yang kuat dan efisien.

RAT FlawedAmmyy tahap kedua yang agresif adalah malware ganas yang memberikan akses jarak jauh ke komputer korban. Penyerang dapat memperoleh hak istimewa Administratif jarak jauh. Begitu masuk, penyerang memiliki akses lengkap ke file, kredensial, dan lainnya.

Kebetulan, data itu sendiri bukanlah target. Dengan kata lain, mencuri data bukanlah tujuan utama. Sebagai bagian dari poros, kelompok TA505 mencari informasi yang memberi mereka akses ke jaringan internal bank dan lembaga keuangan lainnya.

Grup TA505 Mengikuti Uang, Kata Para Ahli:

Berbicara tentang aktivitas kelompok peretasan, Chris Dawson, pemimpin intelijen ancaman di titik bukti mengatakan, “Langkah A505 untuk terutama mendistribusikan RAT dan pengunduh dalam kampanye yang jauh lebih bertarget daripada yang sebelumnya mereka gunakan dengan Trojan perbankan dan ransomware menunjukkan perubahan mendasar dalam taktik mereka. Pada dasarnya grup ini mengejar infeksi berkualitas lebih tinggi dengan potensi monetisasi jangka panjang – kualitas daripada kuantitas.”

Penjahat dunia maya pada dasarnya menyempurnakan serangan mereka, dan memilih target mereka alih-alih melakukan kampanye email besar-besaran dan berharap untuk merenggut korban. Mereka mengejar data, dan yang lebih penting, informasi sensitif, untuk mencuri uang. Pivot terbaru pada dasarnya hanyalah contoh peretas yang mengikuti pasar dan uang. Oleh karena itu, pergeseran strategi tidak boleh dianggap permanen, kata Dawson, “Yang tidak jelas adalah hasil akhir atau permainan akhir dari pergeseran ini. A505 sangat mengikuti uang, beradaptasi dengan tren global dan menjelajahi geografi dan muatan baru untuk memaksimalkan pengembaliannya.”

Facebook Twitter Google Plus Pinterest