Loncat ke konten utama

Sumber daya

INTELIJEN MENCERNA

Kembalinya Kampanye Ancaman Qakbot yang Terkenal Kejam

Taktik sebelumnya dari Trojan QakBot yang telah dibongkar sekarang memicu kampanye phishing yang luas

13 Desember 2023

Oleh Rodman Ramezanian - Pemimpin Ancaman Cloud Global

Masih ingat dengan ancaman siber QakBot (atau dikenal juga sebagai Qbot atau Pinkslipbot)? Ancaman ini ditutup sebagai bagian dari upaya penegakan hukum yang terkoordinasi pada bulan Agustus 2023-dan kini muncul kembali!

Pelaku kejahatan menggunakan trik lama dalam kampanye phishing baru yang menargetkan berbagai industri. Mereka mengirimkan email tipuan yang terlihat seperti percakapan yang sedang berlangsung dan berisi tautan berbahaya. Mengeklik tautan-tautan ini akan membawa Anda ke sebuah file yang dapat menginstal malware seperti DarkGate atau PikaBot pada sistem Anda. (Gambar 1)

Setelah terinfeksi, program-program jahat ini dapat menyebabkan kerusakan serius. Mereka sering kali menahan data Anda untuk mendapatkan tebusan atau memanfaatkan malware cryptomining licik yang menggunakan sumber daya komputasi perangkat untuk menambang mata uang kripto. Penyerang mendapatkan kendali atas sistem Anda dengan maksud untuk mencuri informasi atau melakukan tindakan berbahaya lainnya. Koneksi yang dibuat oleh pelaku ancaman bersifat dua arah: penyerang dapat mengirim perintah dan menerima respons secara real time, sehingga memungkinkan mereka untuk menjelajahi sistem korban, mencuri data, dan melakukan tindakan berbahaya lainnya.

PikaBot, varian malware baru yang canggih yang berbasis pada QakBot, sangat sulit untuk dianalisis dan memberi penyerang lebih banyak kendali.

DarkGate, yang pertama kali ditemukan pada tahun 2017, juga muncul kembali. Malware ini tersedia lebih luas di komunitas peretas pada tahun 2023, yang menyebabkan peningkatan tajam dalam penggunaan dan distribusinya. Jenis malware ini memanfaatkan pesan-pesan Microsoft Teams untuk menyebarkan lampiran berbahaya yang menginstal malware DarkGate. Para peneliti telah memperhatikan pesan phishing di dalam Microsoft Teams, yang berasal dari dua akun Microsoft 365 eksternal yang disusupi. Akun-akun ini digunakan untuk menyesatkan pengguna Microsoft Teams di berbagai organisasi, meminta mereka mengunduh file ZIP bernama "Perubahan jadwal liburan." Mengeklik lampiran ini memicu proses pengunduhan dari URL SharePoint, menyembunyikan file LNK sebagai dokumen PDF.

Mengapa insiden-insiden ini terjadi?

DarkGate dan PikaBot adalah jenis malware serbaguna yang tidak secara khusus menargetkan satu industri, sehingga mereka menimbulkan ancaman di berbagai sektor. DarkGate dan PikaBot bertujuan untuk menyusup ke sistem tanpa pandang bulu, mencari kerentanan untuk dieksploitasi. Sifat modular mereka memungkinkan penyerang untuk melakukan aktivitas seperti pencurian data, akses jarak jauh, penambangan mata uang kripto, dan tindakan jahat lainnya di berbagai spektrum industri. Kemampuan beradaptasi mereka memungkinkan peretas untuk menggunakannya dalam berbagai serangan siber, yang berpotensi memengaruhi industri seperti keuangan, perawatan kesehatan, pendidikan, pemerintah, manufaktur, dan lainnya. Oleh karena itu, semua sektor membutuhkan langkah-langkah keamanan siber yang kuat untuk melindungi dari ancaman yang terus berkembang ini.

Phishing merupakan perantara akses awal yang sangat sukses untuk operator malware DarkGate dan PikaBot. Ketika korban menyerah untuk mengklik tautan phishing di email, ini bertindak sebagai pintu gerbang penting bagi para pelaku ancaman untuk mendapatkan akses. Teknik-teknik ini terus efektif bagi penyerang karena beberapa alasan:

  1. Teknik menipu: Jenis malware ini sering kali menggunakan taktik phishing yang canggih, seperti mengirim email yang tampak sah atau bahkan meniru percakapan yang sedang berlangsung, menipu pengguna untuk mempercayai kontennya.
  2. Mengeksploitasi kerentanan manusia: Phishing mengandalkan emosi manusia, seperti rasa ingin tahu atau urgensi, untuk mendorong tindakan. Email tersebut memikat penerima untuk mengklik tautan atau mengunduh lampiran dengan menyamar sebagai pesan yang mendesak atau penting.
  3. Rekayasa sosial: Teknik ini memanipulasi kepercayaan pengguna terhadap platform atau individu yang sudah dikenal, sehingga lebih sulit untuk mengenali niat jahat.
    Vektor serangan yang beragam: Jenis-jenis malware ini memanfaatkan berbagai titik masuk, seperti lampiran atau tautan email, mengeksploitasi kerentanan pada sistem atau perangkat lunak. Pendekatan yang beragam ini meningkatkan peluang keberhasilan.
  4. Kemampuan beradaptasi: QakBot, DarkGate, dan PikaBot terus berevolusi, mengadaptasi strategi phishing mereka untuk menerobos langkah-langkah keamanan, yang membuatnya lebih sulit untuk dideteksi dan dimitigasi.
  5. Distribusi Otomatis: Ancaman ini dapat menyebar dengan cepat, memanfaatkan sistem otomatis untuk mengirimkan email phishing dalam skala besar, sehingga meningkatkan kemungkinan seseorang menjadi korban taktik mereka.

Apa yang bisa dilakukan?

Kesadaran dan edukasi pengguna bisa sangat efektif dalam menggagalkan serangan phishing seperti ini, karena para pelaku ancaman sebagian besar mengandalkan klik pertama untuk membuka pintu bagi mereka.

Kenyataannya, bagaimanapun juga, kerentanan manusia ditambah dengan taktik menipu dari pihak pelaku ancaman cenderung mengarah pada tautan URL yang diklik. Taktik phishing terus berkembang dan menjadi lebih canggih. Para penyerang menggunakan berbagai taktik seperti rekayasa sosial untuk membuat replika email yang meyakinkan, sehingga lebih sulit untuk membedakannya dengan langkah-langkah keamanan tradisional.

Untuk alasan ini, remote browser isolation (RBI) efektif melawan serangan phishing yang melibatkan klik pada URL karena menjalankan sesi penjelajahan jauh dari perangkat lokal, mengisolasi potensi ancaman dalam lingkungan yang terkendali. Inilah alasan mengapa ini efektif:

  1. Mengisolasi eksekusi: Ketika pengguna mengeklik sebuah URL, sesi penjelajahan berlangsung di lingkungan jarak jauh. Hal ini mencegah potensi malware atau ancaman apa pun mencapai perangkat pengguna secara langsung, karena aktivitas penjelajahan dipisahkan dari sistem lokal.
  2. Membatasi paparan: Dengan mengisolasi sesi penjelajahan-meskipun URL mengarah ke situs berbahaya-setiap malware atau konten berbahaya yang ditemukan tetap terisolasi di dalam lingkungan jarak jauh. Tidak memiliki akses langsung ke perangkat atau jaringan pengguna.
  3. Mencegah infeksi perangkat: Karena penjelajahan terjadi di lingkungan yang terisolasi, malware apa pun yang ditemui selama sesi penjelajahan tidak memiliki kesempatan untuk menginfeksi perangkat pengguna atau membahayakan data sensitif.
  4. Mengurangi permukaan serangan: Remote browser isolation meminimalkan permukaan serangan dengan memastikan bahwa konten web yang berpotensi berbahaya tidak pernah dimuat ke perangkat pengguna, sehingga mengurangi risiko yang terkait dengan URL phishing.
  5. Meningkatkan postur keamanan: Menambahkan lapisan keamanan ekstra dengan memisahkan interaksi pengguna dengan konten web yang berpotensi berisiko dari perangkat dan jaringan lokal, sehingga mengurangi kemungkinan serangan phishing yang berhasil.

Portofolio Skyhigh Security Service Edge (SSE) mencakup RBI Web Berisiko secara default. Ini melindungi pengguna dari situs web berisiko dengan mengalihkan permintaan penjelajahan ke layanan RBI. Teknologi RBI terintegrasi dengan platform Skyhigh Security , memberikan perlindungan yang kuat terhadap ransomware dan ancaman phishing sekaligus menyederhanakan adopsi arsitektur zero trust.

Selain itu, fungsi RBI lengkap, yang tersedia secara terpisah, dapat mengarahkan lalu lintas tertentu ke dalam sesi RBI, memastikan langkah-langkah keamanan yang lebih kuat. Skyhigh SecurityPendekatan RBI melibatkan penyaluran lalu lintas web melalui proxy cloud untuk mengisolasi penjelajahan yang berpotensi berisiko. Hal ini memastikan perlindungan komprehensif melalui data loss prevention (DLP) dan kebijakan anti-malware. Ketika seorang pengguna mengklik URL phishing, biasanya akan mengarahkan korban ke sebuah halaman di mana muatan dihosting untuk mengunduh berkas-berkas milik penyerang. Inilah sebabnya mengapa analisis ancaman yang memadai diperlukan untuk mencegah infeksi perangkat awal.

Skyhigh SecurityMesin gateway anti-malware (GAM) menggunakan analisis maksud proaktif untuk menyaring konten web berbahaya secara real-time tanpa bergantung pada tanda tangan. Mesin ini mendeteksi konten berbahaya yang dapat dieksekusi dan yang tidak dapat dieksekusi dengan mensimulasikan perilaku, memahami perilaku, dan memprediksi maksud kode, yang secara efektif memerangi serangan zero-day dan serangan yang ditargetkan. Mesin ini juga memantau perilaku akses web klien, mengidentifikasi program yang mungkin tidak diinginkan (PUP) dan mengkarantina workstation yang disusupi.

GAM mahir dalam mendeteksi perilaku kode di berbagai format, seperti file eksekusi Microsoft Windows, JavaScript, Flash ActionScript, Java, kontrol ActiveX, dan banyak lagi. Sebagai contoh, GAM dapat mengidentifikasi niat jahat dalam Skrip Visual Basic yang dikaburkan di dalam dokumen Word dan mencegah dokumen tersebut diunduh.

Meskipun mesin anti-malware berbasis tanda tangan dan heuristik tradisional disertakan, kemampuan deteksi inti untuk malware yang tidak dikenal bergantung pada GAM, yang memanfaatkan pembelajaran mesin dan emulasi waktu nyata. Dia mencakup tiga kemampuan heuristik:

  1. Heuristik perilaku statis untuk memblokir perilaku mencurigakan dalam sampel kode baru.
  2. Heuristik struktural yang menghubungkan varian malware yang telah dimodifikasi dengan keluarga malware yang dikenal.
  3. Heuristik perilaku jaringan, yang mengidentifikasi sistem klien yang berpotensi terinfeksi dan menampilkan pola akses internet yang mencurigakan.

Gunakan Skyhigh Security?

Rodman Ramezanian

Tentang Penulis

Rodman Ramezanian

Pemimpin Ancaman Cloud Global

Dengan pengalaman industri keamanan siber yang luas selama lebih dari 11 tahun, Rodman Ramezanian adalah Penasihat Keamanan Cloud Perusahaan, yang bertanggung jawab atas Penasihat Teknis, Pemberdayaan, Desain Solusi, dan Arsitektur di Skyhigh Security. Dalam perannya ini, Rodman terutama berfokus pada organisasi Pemerintah Federal Australia, Pertahanan, dan Perusahaan.

Rodman memiliki spesialisasi di bidang Intelijen Ancaman Musuh, Kejahatan Siber, Perlindungan Data, dan Keamanan Cloud. Dia adalah Penilai IRAP yang didukung oleh Australian Signals Directorate (ASD) - yang saat ini memegang sertifikasi CISSP, CCSP, CISA, CDPSE, Microsoft Azure, dan MITRE ATT&CK CTI.

Rodman memiliki hasrat yang kuat untuk mengartikulasikan hal-hal yang rumit dengan cara yang sederhana, membantu orang awam dan profesional keamanan baru untuk memahami apa, mengapa, dan bagaimana keamanan siber.

Sorotan Serangan

  • Pelaku ancaman memulai serangan dengan mengirimkan email phishing menggunakan percakapan email yang disusupi yang tampak seperti tanggapan atau dengan meneruskan percakapan yang dicuri, membuat penerima cenderung mempercayainya dan kemudian memikat mereka untuk mengeklik URL berbahaya.
  • Pesan-pesan email yang dicuri ini kemungkinan besar diperoleh melalui serangan Microsoft ProxyLogon (CVE-2021-26855). Kerentanan pada Microsoft Exchange Server ini memungkinkan penyerang untuk menghindari autentikasi dan berpura-pura menjadi administrator dari akun yang bersangkutan.
  • URL ini memiliki beberapa lapisan, memastikan bahwa hanya pengguna tertentu yang memenuhi kriteria yang ditetapkan (seperti lokasi dan peramban) yang dapat mengakses perangkat lunak berbahaya untuk memverifikasi bahwa mereka adalah target yang valid.
  • Mengklik URL tersebut akan mengarahkan Anda untuk mengunduh file ZIP yang berisi file JavaScript yang dikenal sebagai JavaScript Dropper. File ini kemudian digunakan untuk mengunduh dan mengeksekusi file portable executable (PE) yang terinfeksi serta file DLL berbahaya.
  • Program JavaScript Dropper terhubung ke URL lain untuk mengambil dan mengaktifkan malware dengan bantuan pengunduh Visual Basic Script (VBS) yang mampu menjalankan malware melalui file .vbs yang biasanya ditemukan di dokumen Microsoft Office atau dengan memulai program baris perintah, pengunduh LNK yang menyalahgunakan file pintasan Microsoft (.lnk), dan pemuat DNA Excel yang digunakan untuk membuat file XLL untuk tugas-tugas eksploitasi lebih lanjut. File XLL, yang biasanya digunakan sebagai pengaya Microsoft Excel untuk tujuan pekerjaan yang sah, dimanipulasi oleh pelaku ancaman. Mereka telah menyesuaikan pengaya ini untuk mengakses lokasi tertentu dan mengunduh muatan berbahaya.
  • Pada titik ini, korban berhasil terinfeksi dengan jenis malware DarkGate atau PikaBot, yang memungkinkan tindakan berbahaya lebih lanjut seperti pengiriman dan pemasangan perangkat lunak cryptomining tingkat lanjut, alat pengintai, muatan ransomware, dan banyak lagi.