ESET melakukan pelacakan digital terhadap kelompok siber bernama Machete, kelompok toolset berbasis Python yang pertama kali terlihat pada bulan April 2018 baru saja meluncurkan versi baru. Versi ini meski baru namun masih mempertahankan fungsi utamanya sebagai backdoor seperti versi sebelumnya, dan memiliki sejumlah fitur baru sebagai bagian dari pengembangan.
Machete secara harfiah diartikan sebagai pisau besar tajam yang berbahaya, nama yang sangat cocok dengan grup siber ini yang terkenal karena mencuri dokumen hingga gigabyte pada perusahaan atau organisasi papan atas, terutama dokumen milik militer dan tetap berada di bawah radar.
Dari akhir Maret sampai akhir Mei 2019, peneliti ESET mengamati bahwa ada lebih dari 50 komputer korban secara aktif berkomunikasi dengan server. Dan sejumlah besar data diunggah setiap minggu melalui komputer tersebut, sebagian besar atau lebih setengahnya merupakan komputer milik militer, sedangkan yang lain berkaitan dengan sektor pendidikan, polisi dan sektor luar negeri. Repotnya, pergerakan malware Machete terus meluas ke berbagai negara dengan fungsi sebagai malware targeted attack.
Malware Machete
Operator menggunakan teknik spearphising secara efektif saat mengamuk menyerang. Serangan jangka panjang mereka sementara ini difokuskan di negara-negara Amerika Latin, memungkinkan mereka mengumpulkan intelijen dan memperbaiki taktik selama bertahun-tahun.
Mereka tahu target mereka, bagaimana untuk berbaur melalui komunikasi biasa, dan dokumen berharga mana yang harus dicuri. Tidak hanya Machete exfiltrate dokumen Suite umum kantor, tetapi juga jenis file khusus yang digunakan oleh software Geographic Information Systems (GIS). Kelompok ini tertarik pada file yang menggambarkan rute navigasi dan posisi menggunakan grid Militer.
Kelompok Machete sangat spesifik mengirimkan email langsung ke korban, dan ini mengalami perubahan menjadi dari target ke target. Email ini berisi tautan atau lampiran dari arsip self-extracting terkompresi yang menjalankan malware dan membuka dokumen yang berfungsi sebagai umpan.
Jenis dokumen yang digunakan sebagai umpan yang dikirim dan diterima secara sah beberapa kali sehari oleh target. Misalnya, dokumen Radiogramas digunakan untuk komunikasi dalam pasukan militer Venezuela. Peretas mengambil keuntungan dari itu, bersama dengan pengetahuan mereka tentang jargon militer dan etiket, untuk email phishing sangat meyakinkan.
Komponen backdoor
Dropper Machete merupakan executable RAR SFX. Tiga komponen Py2exe di-drop: GoogleCrash.exe, Chrome.exe dan GoogleUpdate.exe. Sebuah file konfigurasi tunggal, jer.dll, dijatuhkan dan berisi teks base64-encoded yang sesuai dengan string AES-dienkripsi.
GoogleCrash.exe merupakan komponen utama dari malware. eksekusi itu jadwal dari dua komponen lainnya dan menciptakan Windows Task Scheduler untuk mencapai persistensi. Sementara komponen chrome.exe bertanggung jawab untuk pengumpulan data dari komputer korban berupa:
- Screenshot
- Log keystrokes
- Mengakses clipboard
- AES-mengenkripsi dan mencuri dokumen
- Mendeteksi drive yang baru dimasukkan dan file copy
- Jalankan binari lainnya yang diunduh dari server C&C
- Mengambil file dari sistem
- Mengambil data profil pengguna dari beberapa browser
- Geolocation korban dan mengumpulkan informasi tentang dekatnya jaringan Wi-Fi
- Lakukan exfiltration fisik untuk removable drive
Para operator Machete tertarik untuk memperoleh jenis file tertentu dari target mereka. Terlepas dari dokumen Microsoft Office, mereka mencari:
- File backup
- File database
- Kunci kriptografi (PGP)
- Dokumen OpenOffice
- Gambar vektor
- File untuk sistem informasi geografis (peta topografi, rute navigasi, dll)
Mengenai geolocation korban, Chrome.exe mengumpulkan data tentang jaringan Wi-Fi terdekat dan mengirimkannya ke Mozilla Location Service API. Singkatnya, aplikasi ini menyediakan koordinat geolocation ketika diberikan sumber data lain seperti beacon Bluetooth, menara sel atau titik akses Wi-Fi. Kemudian malware mengambil lintang dan bujur untuk membangun URL Google Maps.
Keuntungan menggunakan Mozilla Location Service API memungkinkan tanpa GPS sebenarnya dan geolocation dapat lebih akurat daripada metode lain. Sebagai contoh, alamat IP dapat digunakan untuk mendapatkan perkiraan lokasi, tetapi tidak begitu akurat. Di sisi lain, jika ada data yang tersedia untuk daerah, Mozilla Location Service dapat memberikan informasi seperti bangunan di mana target berada.
Komponen GoogleUpdate.exe bertanggung jawab untuk berkomunikasi dengan server C&C. Konfigurasi mengatur koneksi membaca dari jer.dll berkas: nama domain, username dan password. Sarana utama komunikasi untuk Machete melalui FTP, meskipun komunikasi HTTP dilaksanakan pada tahun 2019 sebagai fallback.
Artinya upload file terenkripsi ke subdirektori yang berbeda pada server C&C, tetapi juga mengambil file tertentu yang telah dimasukkan pada server oleh operator Machete. Dengan cara ini, malware dapat memiliki konfigurasi binari berbahaya dan daftar file yang diperbarui, tetapi juga dapat mendownload dan menjalankan binari lainnya.
Masa depan
Sebagai malware yang bertindak sebagai targeted attack, ke depan Machete dapat sangat berbahaya tidak hanya untuk kawasan Amerika Latin. Memang benar keberadan mereka saat ini hanya mengincar target high profile sekels militer di wilayah tersebut, namun tetap jangan pernah lengah dan menganggap pergerakan mereka terbatas.
Serangan siber adalah serangan lintas batas, lintas wilayah dan negara, tidak pandang bulu terhadap apa pun, tujuan dan motif utama mereka adalah finansial atau ekonomi. Jika sekarang mereka belum melakukan serangan ke wilayah atau negara di luar Amerika Selatan, bukan berarti mereka tidak akan menyerang sama sekali, hasrat dan godaan besar mendapat uang mudah bisa membuat para penjahat siber menggila dan menyerang membabi buta, dan kejadian semacam itu sudah sering terjadi di dunia siber. Pastikan! memiliki solusi keamanan yang komprehensif, yang memiliki banyak fungsionalitas lain untuk setiap macam permasalahan di dunia digital.
Sumber berita:
https://www.welivesecurity.com/