Penyebaran Malware RAT
Phising merupakan vektor awal yang sangat berbahaya, seperti saat email bantu penyebaran malware RAT baru-baru ini yang cukup menghebohkan.
Cacat keamanan yang baru saja ditambal yang memengaruhi Windows NT LAN Manager (NTLM) dieksploitasi sebagai zero-day oleh penjahat siber yang diduga berkaitan dengan Rusia.
Kerentanan yang dimaksud adalah CVE-2024-43451 (skor CVSS: 6,5), merujuk pada kerentanan spoofing pengungkapan hash NTLM yang dapat dieksploitasi untuk mencuri hash NTLMv2 milik pengguna. Kerentanan tersebut ditambal oleh Microsoft awal minggu ini.
Interaksi dengan file berbahaya seperti memilih, memeriksa (klik kanan), atau melakukan tindakan selain membuka atau mengeksekusi dapat memicu kerentanan ini.
|
Baca juga: DNS Messenger RAT dengan PowerShell |
Eksploitasi Dimulai
Peneliti keamanan siber menemukan eksploitasi zero-day atas cacat tersebut pada Juni 2024, mengatakan bahwa kerentanan tersebut telah disalahgunakan sebagai bagian dari rantai serangan yang mengirimkan malware Spark RAT open source.
Kerentanan tersebut mengaktifkan berkas URL, yang mengarah ke aktivitas berbahaya, dan berkas berbahaya tersebut dihosting di situs resmi pemerintah Ukraina yang memungkinkan pengguna mengunduh sertifikat akademik.
Rangkaian serangan melibatkan pengiriman email phising dari server pemerintah Ukraina yang disusupi (“doc.osvita-kp.gov[.]ua”) yang meminta penerima untuk memperbarui sertifikat akademik mereka dengan mengeklik URL jebakan yang disematkan dalam pesan tersebut.
Hal ini menyebabkan pengunduhan arsip ZIP yang berisi berkas pintasan internet (.URL) berbahaya. Kerentanan tersebut dipicu saat korban berinteraksi dengan berkas URL tersebut dengan mengeklik kanan, menghapus, atau menyeretnya ke folder lain.
|
Baca juga: Aplikasi Peniru YouTube Penyebar RAT |
Malware RAT
Berkas URL tersebut dirancang untuk membuat koneksi dengan server jarak jauh (“92.42.96[.]30”) guna mengunduh muatan tambahan, termasuk Spark RAT.
Selain itu, eksekusi sandbox memunculkan peringatan tentang upaya untuk meneruskan Hash NTLM (NT LAN Manager) melalui protokol SMB (Server Message Block).
Setelah menerima NTLM Hash, penyerang dapat melakukan serangan Pass-the-Hash untuk mengidentifikasi pengguna yang terkait dengan hash yang ditangkap tanpa memerlukan kata sandi yang sesuai.
Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah menghubungkan aktivitas tersebut dengan kemungkinan pelaku ancaman Rusia yang dilacaknya sebagai UAC-0194.
Dalam beberapa minggu terakhir, lembaga tersebut juga telah memperingatkan bahwa email phising yang berisi umpan terkait pajak digunakan untuk menyebarkan perangkat lunak desktop jarak jauh yang sah bernama LiteManager,
Dari sini kita bisa lihat gambaran bahwa operasi serangan tersebut bermotif finansial dan dilakukan oleh pelaku ancaman bernama UAC-0050.
Akuntan perusahaan yang komputernya bekerja dengan sistem perbankan jarak jauh berada dalam zona risiko khusus,” CERT-UA memperingatkan.
Sebagaimana dibuktikan investigasi forensik komputer, mungkin diperlukan waktu tidak lebih dari satu jam dari saat serangan awal hingga pencurian dana.
Sampai di sini pembahasan kita tentang penyebaran malware RAT, informasi yang dipaparkan di atas tersebut semoga dapat berguna bagi pembaca.
Sumber berita:
