FortiGuard Labs 'Kadena Threat Intelligence System (KTIS) telah menemukan sebuah kampanye spam yang menggunakan kerentanan dokumen eksekusi kode jauh, CVE-2017-11882, yang walaupun diketahui tentang bagian yang lebih baik dari dua dekade, hanya diungkapkan dan ditambal oleh Microsoft di November
"Tidak lama setelah aktor ancaman pengungkapannya cepat memanfaatkan kerentanan ini untuk mengirimkan perangkat lunak perusak menggunakan komponen dari alat uji penetrasi yang terkenal, Strike Cobalt," kata FortiGuard, dalam sebuah analisis terhadap kampanye tersebut. "Aktor ancaman selalu mencari kerentanan untuk memanfaatkan dan menggunakannya untuk kampanye malware seperti ini. Hal ini berlaku baik untuk kerentanan baru maupun lama, apakah telah dipublikasikan atau tidak. Kami sering melihat kampanye perangkat lunak perusak yang memanfaatkan kerentanan yang telah ditambal selama berbulan-bulan atau bahkan bertahun-tahun. Ini mungkin berasal dari asumsi bahwa masih banyak pengguna di luar sana yang tidak menganggap serius pembaruan perangkat lunak, yang sayangnya, terlalu sering terjadi. "
Email spam tersebut merupakan pemberitahuan dari Visa tentang beberapa perubahan peraturan dalam layanan payWave di Rusia. Lampiran mencakup arsip yang dilindungi kata sandi-biasanya taktik ini digunakan untuk mencegah sistem analisis otomatis mengeluarkan file berbahaya untuk sandboxing dan deteksi. Gambit ini berbeda.
Baca juga :
Baca juga :
"Ini jelas bukan ancaman aktor untuk kampanye ini, karena salinan dokumen berbahaya itu ada di tempat terbuka," kata FortiGuard. "Jadi, ada kemungkinan bahwa ini hanya untuk mengelabui pengguna agar berpikir bahwa sekuritas ada di tempat, yang merupakan sesuatu yang diharapkan seseorang dari sebuah email dari layanan keuangan yang banyak digunakan."
Isi naskah PowerShell berisi suar anti-deteksi, dan memungkinkan aktor ancaman mengendalikan sistem korban dan memulai prosedur pergerakan lateral di jaringan dengan menjalankan beragam perintah.
"Juga penting bahwa dalam kasus ini penjahat cyber ini dapat memuat modul Cobalt Strike tanpa perlu menuliskannya sebagai file fisik," tambah perusahaan tersebut. "Sebaliknya, mereka menggunakan alat Microsoft Windows yang terpercaya untuk menjalankan skrip sisi klien, yang dapat diabaikan oleh produk AV tradisional."
Author : Rama Trisna Pasa
Sumber : Info security megazine
Post a Comment