Aktor ancaman yang dikenal di malware-as-a-service (MaaS) bisnis yang dikenal sebagai “Venom Spider” terus memperluas kemampuan bagi penjahat dunia maya yang menggunakan platformnya, dengan pintu belakang dan pemuat baru yang terdeteksi dalam dua serangan terpisah dalam periode dua bulan terakhir.
Para peneliti di Zscaler ThreatLabz menemukan kampanye antara bulan Agustus dan Oktober tahun ini yang memanfaatkan pintu belakang yang disebut RevC2, serta loader yang disebut Venom Loader, dalam serangan yang menggunakan alat MaaS yang dikenal dari Venom Spider (alias Golden Chickens), menurut sebuah postingan blog diterbitkan 2 Desember.
RevC2 menggunakan WebSockets untuk berkomunikasi dengan server perintah dan kontrol (C2) dan dapat mencuri cookie dan kata sandi, lalu lintas jaringan proxy, dan mengaktifkan eksekusi kode jarak jauh (RCE). Sementara itu Venom Loader menggunakan nama komputer korban untuk menyandikan muatan, sehingga menyesuaikannya untuk setiap korban sebagai taktik personalisasi tambahan.
Venom Spider adalah aktor ancaman yang dikenal menawarkan berbagai alat MaaS seperti VenomLNK, TerraLoaderTerraStealer, dan TerraCryptor yang banyak digunakan oleh kelompok seperti FIN6 dan Cobalt untuk serangan siber. Faktanya, FIN6 terlihat memanfaatkan platform MaaS Venom Spider pada bulan Oktober kampanye spear-phishing menyebarkan pintu belakang baru yang dijuluki “more_eggs” yang mampu mengeksekusi muatan malware sekunder.
Bahkan “Lebih_Telur”
Platform tersebut tampaknya telah ditingkatkan lagi, kali ini dengan dua keluarga malware baru yang diamati dalam kampanye phishing baru-baru ini. RevC2, yang diamati oleh para peneliti dalam kampanye yang berlangsung dari Agustus hingga September, menggunakan daya tarik dokumentasi API untuk mengirimkan muatan baru.
Serangan dimulai dengan file VenomLNK yang berisi skrip obfuscated batch (BAT) yang ketika dijalankan akan mengunduh gambar PNG dari situs web hxxp://gdrive[.]istirahat:8080/api/API.png. Gambar PNG tersebut bertujuan untuk memikat korban dengan dokumen berjudul “APFX Media API Documentation.”
Setelah dieksekusi, RevC2 menggunakan dua pemeriksaan untuk kriteria sistem tertentu dan kemudian dieksekusi hanya jika keduanya lulus, untuk memastikan bahwa RevC2 diluncurkan sebagai bagian dari rantai serangan, dan bukan di lingkungan analisis seperti sandbox.
Setelah diluncurkan, kemampuan pintu belakang mencakup kemampuan untuk: berkomunikasi dengan C2 menggunakan perpustakaan C++ yang disebut “websocketpp”; mencuri kata sandi dan cookie dari browser Chromium; mengambil tangkapan layar dari sistem korban; data jaringan proxy menggunakan protokol SOCK5; dan menjalankan perintah sebagai pengguna lain menggunakan kredensial yang dicuri.
Kampanye kedua yang dilakukan antara bulan September dan Oktober menggunakan daya tarik mata uang kripto untuk menghadirkan Venom Loader, yang pada gilirannya menyebarkan pintu belakang JavaScript yang menyediakan kemampuan RCE yang oleh para peneliti dijuluki “More_eggs lite”. Malware ini dinamakan demikian karena memiliki kemampuan lebih sedikit dibandingkan “more_eggs” yang ditemukan sebelumnya, kata peneliti keamanan ThreatLabz, Muhammed Irfan VA dalam postingannya.
“Meski merupakan backdoor JS yang dikirimkan melalui VenomLNK, variannya hanya memiliki kemampuan untuk melakukan RCE,” tulisnya.
Salah satu fitur penting dari Venom Loader adalah bahwa file DLL yang digunakan dalam kampanye yang diamati dibuat khusus untuk setiap korban dan digunakan untuk memuat tahap berikutnya, menurut ThreatLabz.
Pemuat diunduh dari :hxxp://170.75.168[.]151/%computername%/aaa, “di mana nilai %computername% merupakan variabel lingkungan yang berisi nama komputer dari sistem,” tulis Irfan VA.
Venom Loader kemudian menggunakan %computername% sebagai kunci XOR hardcoded untuk menyandikan tahapan serangannya, yang dalam hal ini mengeksekusi pintu belakang lite More_eggs agar penyerang dapat melakukan RCE.
Kemampuan MaaS Diharapkan Meningkat
ThreatLabz yakin bahwa malware baru tersebut disertakan di platform MaaS Venom Spider “adalah versi awal, dan diharapkan lebih banyak fitur dan teknik anti-analisis akan ditambahkan di masa mendatang,” tulis Irfan VA.
Zscaler mendeteksi malware tersebut menggunakan sandbox dan platform keamanan cloud-nya, yang mendeteksi indikator nama ancaman berikut yang terkait dengan kampanye tersebut: LNK.Downloader.VenomLNK; Win32.Backdoor.RevC2; dan Win32.Downloader.VenomLoader.
Zscaler juga menyediakan skrip Python yang mengemulasi server WebSocket RevC2 pada repositori GitHub-nya serta menyertakan daftar panjang indikator kompromi (IoC) dalam postingan blog sehingga pembela HAM dapat memeriksa sistem organisasi masing-masing untuk mencari bukti adanya malware.
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")