Aktivitas Malware Truebot Yang Terkait Dengan Evil Corp Terus Meningkat
illustrasi
Cyberthreat.id – Grup ancaman Silence telah terlihat menginfeksi semakin banyak perangkat yang menggunakan malware Truebot.
Dikutip dari Info Security Magazine, berdasarkan temuan peneliti Cisco Talos, ada hubungan antara Silence dan grup peretas terkenal Evil Corp (dilacak oleh Cisco sebagai TA505).
Menurut laporan yang diterbitkan pada hari Kamis, kampanye yang diamati oleh perusahaan telah menghasilkan pembuatan dua botnet: satu dengan infeksi yang didistribusikan ke seluruh dunia (khususnya di Meksiko dan Brasil) dan yang lebih baru berfokus pada AS.
“Meskipun kami tidak memiliki informasi yang cukup untuk mengatakan bahwa ada fokus khusus pada suatu sektor, kami melihat sejumlah organisasi sektor pendidikan yang dikompromikan,” kata peneliti.
Peneliti ancaman Cisco Talos Tiago Pereira percaya Truebot menjadi pelopor ancaman lain yang diketahui bertanggung jawab atas serangan yang menyebabkan kerugian besar. Selain itu, Silence tidak hanya memperluas targetnya tetapi juga beralih dari menggunakan email berbahaya sebagai metode pengiriman utamanya ke teknik baru.
“Pada bulan Oktober, jumlah infeksi yang lebih besar memanfaatkan Raspberry Robin, malware baru-baru ini yang menyebar melalui drive USB, sebagai vektor pengiriman. Kami percaya dengan keyakinan sedang bahwa selama bulan November, penyerang mulai menggunakan cara lain untuk mendistribusikan malware,” kata peneliti.
Penulisan teknis juga menunjukkan bahwa aktivitas pasca-kompromi termasuk pencurian data dan eksekusi ransomware Clop. Saat menyelidiki salah satu serangan ini, kami menemukan apa yang tampaknya merupakan alat eksfiltrasi data kustom berfitur lengkap, yang kami sebut 'Teleport', yang banyak digunakan untuk mencuri informasi selama serangan.
Teleport dibuat dalam C++ dan berisi banyak fitur untuk meningkatkan proses eksfiltrasi data, termasuk membatasi kecepatan unggah dan ukuran file, mengenkripsi komunikasi dengan protokol khusus, dan kemampuan untuk menghapus dirinya sendiri setelah digunakan. Bahkan, selama penyelidikannya, Cisco Talos juga mengamati Silence mengeksploitasi kerentanan Netwrix yang relatif baru (melacak CVE-2022-31199).
“Kerentanan ini telah dipublikasikan hanya beberapa minggu sebelum serangan terjadi, dan jumlah sistem yang terekspos dari internet diperkirakan cukup kecil,” tulis peneliti dalam laporan itu.
Menurut peneliti, hal ini menunjukkan bahwa penyerang tidak hanya mencari vektor infeksi baru tetapi juga dapat dengan cepat mengujinya dan memasukkannya ke dalam alur kerja mereka. Grup ancaman Silence bukan yang pertama terlihat menggunakan alat malware di atas. Penasihat bulan Oktober oleh Microsoft menghubungkan Raspberry Robin ke grup ransomware Clop dan LockBit.
