Peretas beralih ke teknik sederhana ini untuk menginstal malware mereka di PC
Security

Peretas beralih ke teknik sederhana ini untuk menginstal malware mereka di PC

Kelompok peretas yang didukung negara sedang mengeksploitasi teknik baru yang sederhana namun efektif untuk memperkuat kampanye phishing untuk menyebarkan malware dan mencuri informasi yang menarik bagi pemerintah mereka.

Peneliti keamanan siber di Proofpoint mengatakan kelompok ancaman persisten tingkat lanjut (APT) yang bekerja atas nama kepentingan Rusia, China, dan India menggunakan injeksi template format teks kaya (RTF).

Meskipun penggunaan lampiran file teks RTF dalam email phishing bukanlah hal baru, teknik yang digunakan oleh peretas lebih mudah diterapkan dan lebih efektif karena lebih sulit dideteksi oleh perangkat lunak antivirus – dan banyak organisasi tidak akan memblokir file RTF secara default karena mereka adalah bagian dari operasi bisnis sehari-hari.

LIHAT: Strategi kemenangan untuk keamanan siber (laporan khusus ZDNet)

Tekniknya adalah injeksi template RTF. Dengan mengubah properti pemformatan dokumen file RTF, penyerang dapat menggunakan file RTF untuk mengambil konten jarak jauh dari URL yang dikendalikan oleh penyerang, memungkinkan mereka untuk secara diam-diam mengambil muatan malware yang diinstal pada mesin korban.

Penyerang dapat menggunakan injeksi template RTF untuk membuka dokumen di Microsoft Word, yang akan menggunakan URL berbahaya untuk mengambil muatan sementara juga menggunakan Word untuk menampilkan dokumen umpan.

Pendekatan ini mungkin memerlukan pemikatan pengguna untuk mengaktifkan pengeditan atau mengaktifkan konten untuk memulai proses mengunduh muatan, tetapi dengan bentuk rekayasa sosial yang tepat, terutama di balik umpan yang meyakinkan, korban dapat ditipu untuk mengizinkan proses ini mengambil tempat.

Ini bukan teknik yang rumit, tetapi karena sederhana dan dapat diandalkan untuk digunakan, ini telah menjadi populer dengan beberapa operasi peretasan negara-bangsa, yang dapat menyebarkan serangan RTF alih-alih serangan lain yang lebih kompleks, tetapi tetap mendapatkan hasil yang sama.

Terlepas dari penunjukan “Lanjutan”, jika aktor APT melakukan pekerjaan mereka dengan baik, mereka akan menggunakan sumber daya dan kecanggihan paling sedikit yang diperlukan untuk mendapatkan akses ke organisasi, kata Sherrod DeGrippo, wakil presiden penelitian dan deteksi ancaman di Proofpoint.

“Ini mencegah pelaku untuk mengekspos alat yang lebih canggih jika ditemukan, yang mengakibatkan gangguan operasional yang lebih besar bagi kelompok pelaku ancaman untuk menggantikan kemampuan teknis saat ditemukan,” tambahnya.

Menurut peneliti, contoh paling awal yang diketahui dari grup APT yang menggunakan injeksi template RTF dalam kampanye adalah pada Februari 2021. Suntikan ini dilakukan oleh Tim DoNot, grup APT yang telah dikaitkan dengan kepentingan negara bagian India.

Sejak itu, beberapa operasi peretasan terkait negara lainnya juga terlihat menggunakan injeksi RTF sebagai bagian dari kampanye. Ini termasuk grup Proofpoint yang disebut sebagai TA423, juga dikenal sebagai Leviathan, yang merupakan grup ATP yang terkait dengan China, yang telah menggunakan serangan RTF dalam beberapa kampanye sejak April.

LIHAT: Penjahat web gelap sekarang mengajar kursus tentang cara membuat botnet

Salah satu kampanye ini terjadi pada bulan September dan menargetkan entitas di Malaysia yang terkait dengan sektor eksplorasi energi – dan dilengkapi dengan email phishing yang dirancang khusus untuk memikat target agar secara tidak sengaja mengeksekusi muatan.

Kemudian pada bulan Oktober, para peneliti melihat Gamaredon – kelompok peretas ofensif yang telah dikaitkan dengan Layanan Keamanan Federal Rusia (FSB) yang menggunakan dokumen injeksi template RTF dalam serangan, yang menyamar sebagai Kementerian Pertahanan Ukraina.

Sementara hanya segelintir kelompok APT yang telah berusaha untuk menyebarkan serangan berbasis RTF sejauh ini, para peneliti memperingatkan bahwa efektivitas teknik yang dikombinasikan dengan kemudahan penggunaannya kemungkinan akan mendorong adopsi lebih jauh di seluruh lanskap ancaman – dan ini bisa berarti kampanye yang memanfaatkan teknik ini. diadopsi oleh penjahat cyber bermotivasi finansial.

“Kemudahan persenjataan dalam teknik ini juga kemungkinan akan menarik aktor kelas bawah dan canggih, memperluas kehadiran teknik ini di alam liar, termasuk pelaku kejahatan,” kata DeGrippo.

LEBIH BANYAK TENTANG KEAMANAN SIBER

Posted By : togel hari ini hongkong