Malware Gunakan Google Sheets untuk Serang 70+ Organisasi Global
- Muhammad Bachtiar Nur Fa'izi
- •
- 02 Sep 2024 15.02 WIB
Para peneliti keamanan siber telah mengungkapkan kampanye malware baru yang memanfaatkan Google Sheets sebagai mekanisme perintah dan kontrol (C2). Aktivitas ini terdeteksi oleh Proofpoint mulai tanggal 5 Agustus 2024, dengan menyamar sebagai otoritas pajak dari pemerintah di Eropa, Asia, dan Amerika Serikat, dengan tujuan menargetkan lebih dari 70 organisasi di seluruh dunia melalui alat kustom bernama Voldemort yang dilengkapi untuk mengumpulkan informasi dan mengirimkan payload tambahan.
Sektor yang menjadi target termasuk asuransi, penerbangan, transportasi, akademisi, keuangan, teknologi, industri, kesehatan, otomotif, perhotelan, energi, pemerintahan, media, manufaktur, telekomunikasi, dan organisasi sosial.
Kampanye espionase siber yang dicurigai ini belum diatribusikan kepada aktor ancaman tertentu. Hingga 20.000 pesan email telah dikirim sebagai bagian dari serangan ini.
Email-email tersebut mengklaim berasal dari otoritas pajak di AS, Inggris, Prancis, Jerman, Italia, India, dan Jepang, yang mengingatkan penerima tentang perubahan pada pengajuan pajak mereka dan mendorong mereka untuk mengklik URL Google AMP Cache yang mengarahkan pengguna ke halaman perantara.
Halaman tersebut memeriksa string User-Agent untuk menentukan apakah sistem operasinya adalah Windows, dan jika demikian, memanfaatkan handler protokol search-ms: URI untuk menampilkan file pintasan Windows (LNK) yang menyamar sebagai file PDF dalam upaya menipu korban untuk meluncurkannya.
"Jika LNK dijalankan, itu akan memanggil PowerShell untuk menjalankan Python.exe dari berbagi WebDAV ketiga di tunnel yang sama (\library\), melewatkan skrip Python di berbagi keempat (\resource\) di host yang sama sebagai argumen," kata para peneliti Proofpoint, Tommy Madjar, Pim Trouerbach, dan Selena Larson.
"Ini menyebabkan Python menjalankan skrip tersebut tanpa mengunduh file apa pun ke komputer, dengan ketergantungan dimuat langsung dari berbagi WebDAV."
Skrip Python dirancang untuk mengumpulkan informasi sistem dan mengirimkan data dalam bentuk string yang di-Base64-kan ke domain yang dikendalikan oleh aktor, setelah itu menampilkan file PDF tiruan kepada pengguna dan mengunduh file ZIP terlindung kata sandi dari OpenDrive.
Arsip ZIP tersebut sendiri berisi dua file, yaitu executable yang sah "CiscoCollabHost.exe" yang rentan terhadap DLL side-loading dan DLL berbahaya "CiscoSparkLauncher.dll" (yaitu, Voldemort) yang dimuat secara sampingan.
Voldemort merupakan backdoor kustom yang ditulis dalam C dengan kemampuan untuk mengumpulkan informasi dan memuat payload tahap selanjutnya, dengan malware yang memanfaatkan Google Sheets untuk C2, eksfiltrasi data, dan mengeksekusi perintah dari operator.
Proofpoint menggambarkan aktivitas ini selaras dengan ancaman yang berkelanjutan tetapi memiliki "nuansa kejahatan siber" karena penggunaan teknik yang populer dalam lanskap e-kejahatan.
"Aktor ancaman menyalahgunakan file schema URIs untuk mengakses sumber daya berbagi file eksternal untuk staging malware, khususnya WebDAV dan Server Message Block (SMB). Ini dilakukan dengan menggunakan skema 'file://' dan menunjuk ke server jarak jauh yang menyimpan konten berbahaya," kata para peneliti.
Pendekatan ini semakin umum di antara keluarga malware yang bertindak sebagai broker akses awal (IAB), seperti Latrodectus, DarkGate, dan XWorm.
Lebih lanjut, Proofpoint menyatakan bahwa mereka dapat membaca isi Google Sheet tersebut, mengidentifikasi total enam korban, termasuk satu yang diyakini sebagai sandbox atau "peneliti yang dikenal."
Kampanye ini dinyatakan tidak biasa, meningkatkan kemungkinan bahwa aktor ancaman menyasar target yang lebih luas sebelum berfokus pada sekelompok kecil target. Juga mungkin bahwa para penyerang, yang kemungkinan memiliki tingkat keterampilan teknis yang bervariasi, merencanakan untuk menginfeksi beberapa organisasi.
"Meskipun banyak karakteristik kampanye ini selaras dengan aktivitas ancaman siber kriminal, kami menilai bahwa ini kemungkinan adalah aktivitas spionase yang dilakukan untuk mendukung tujuan akhir yang belum diketahui," kata para peneliti.
"Amalgamasi Frankensteinian dari kemampuan cerdas dan canggih, dipasangkan dengan teknik dan fungsionalitas yang sangat dasar, membuat sulit untuk menilai tingkat kemampuan aktor ancaman dan menentukan dengan keyakinan tinggi tujuan akhir dari kampanye ini."
Perkembangan ini terjadi saat Netskope Threat Labs mengungkap versi terbaru dari malware Latrodectus (versi 1.4) yang dilengkapi dengan endpoint C2 baru dan menambahkan dua perintah backdoor baru yang memungkinkannya untuk mengunduh shellcode dari server tertentu dan mengambil file sewenang-wenang dari lokasi jarak jauh.
"Latrodectus telah berkembang dengan cukup cepat, menambahkan fitur baru ke payload-nya," kata peneliti keamanan Leandro Fróes. "Pemahaman tentang pembaruan yang diterapkan pada payload memungkinkan pembela untuk menjaga pipeline otomatis tetap teratur serta menggunakan informasi tersebut untuk pencarian lebih lanjut terhadap varian baru."