Carbanak - Salah satu geng penjahat cyber yang paling sukses yang pernah yang dikenal dlm pencurian satu miliar dolar lebih dari 100 bank di 30 negara 2015 - kembali dengan sebuah BANG!
Carbanak geng penjahat cyber ditemukan malware dan menyalahgunakan berbagai layanan Google untuk mengeluarkan komando dan kontrol (C & C) komunikasi untuk memantau dan mengendalikan mesin korban.
Peneliti Forcepoint Security Labs mengatakan Selasa bahwa sementara menyelidiki eksploitasi aktif dikirim dalam pesan phishing sebagai lampiran RTF, mereka menemukan bahwa kelompok Carbanak telah bersembunyi di situs biasa dengan menggunakan layanan Google untuk komando dan kontrol.
"Aktor Carbanak terus mencari teknik stealth untuk menghindari deteksi," kata senior peneliti keamanan Forcepoint Nicholas Griffin dalam posting blog. "Menggunakan Google sebagai C & C channel independen cenderung lebih sukses daripada menggunakan domain atau domain baru dibuat tanpa reputasi."
Dokumen RTF memiliki objek OLE yang berisi VBScript (Visual Basic Script), yang sebelumnya dikaitkan dengan malware Carbanak, dan menggunakan rekayasa sosial untuk mengelabui korban agar mengklik gambar amplop untuk "membuka isi".
Ternyata gambar amplop sebenarnya menyembunyikan objek OLE yg tertananm, sehingga setelah korban double klik gambar itu, kotak dialog terbuka menanyakan apakah korban ingin menjalankan unprotected.vbe berkas.
Jika korban menjalankan file, malware Carbanak ini VBScript akan dijalankan, dan, menurut Forcepoint, malware akan "mengirim dan menerima perintah dari dan ke Google Apps Script, Google Spreadsheet, dan layanan Formulir Google ."
Selain VBScript malware, peneliti Forcepoint juga menemukan modul 'ggldr' script baru dikodekan dalam file VBScript utama bersama dengan berbagai modul VBScript lainnya, mampu menggunakan layanan Google sebagai saluran perintah dan kontrol.
"'ggldr' skrip ini akan mengirim dan menerima perintah ke Google Apps Script, Google Spreadsheet, dan layanan Google Formulir," "Untuk setiap pengguna yang terinfeksi unik Google Sheets spreadsheet yang dibuat secara dinamis untuk mengelola setiap korban," kata Griffin.
"Penggunaan layanan pihak ketiga yang sah seperti ini memberikan kemampuan kepada penyerang untuk bersembunyi di depan mata. Hal ini tidak mungkin bahwa layanan Google host yang diblokir secara default dalam suatu organisasi, sehingga lebih mungkin bahwa penyerang akan membentuk C & C channel berhasil. "
peneliti Forcepoint kemungkinan bahwa kelompok hacker yang menggunakan layanan Google karena layanan ini diizinkan secara default di banyak perusahaan dan organisasi, yang membuatnya lebih mudah bagi hacker untuk exfiltrate data dan mengirimkan petunjuk.
Carbanak, juga dikenal sebagai Anunak, adalah salah satu operasi cybercriminal yang paling sukses di dunia dan merupakan kelompok yang sangat terorganisir yang terus berkembang taktik untuk melaksanakan kejahatan cyber sambil menghindari deteksi oleh target potensial dan pihak berwenang.
Kelompok ini pertama kali terkena pada tahun 2015 sebagai penjahat cyber finansial termotivasi menargetkan lembaga terutama keuangan. Sejak mulai beroperasi pada 2013, Carbanak telah mencuri lebih dari $ 1 Miliar dari lebih dari 100 bank di seluruh dunia.
Forcepoint telah diberitahu Google dari masalah ini, dan peneliti yang bekerja dengan teknologi web raksasa ttg penyalahgunaan tertentu dari layanan web yang sah.
sumber : The hacker News
0komentar:
Post a Comment