Kerentanan yang baru-baru ini diungkapkan dalam Microsoft Office yang memungkinkan peretas memasang malware di komputer yang ditargetkan tanpa interaksi pengguna sekarang dieksploitasi di alam bebas untuk menyebarkan backdoor.
Pertama kali ditemukan oleh periset di perusahaan keamanan Fortinet, malware tersebut telah dijuluki “Cobalt” karena menggunakan komponen dari alat penetration testing yang kuat dan sah, yang disebut Cobalt Strike.
Cobalt Strike adalah sebuah perangkat lunak yang dikembangkan oleh Red Team Operations dan Adversary Simulations untuk mengakses kanal terselubung dari sebuah sistem.
Kerentanan ini (CVE-2017-11882) yang digunakan oleh penyerang untuk menanam sebuah backdoor, kerentanan yang memanfaatkan masalah korupsi memori yang memungkinkan penyerang untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan saat membuka file berbahaya dan berpotensi mengendalikan sistem sepenuhnya.
Kerentanan ini mempengaruhi semua versi sistem operasi Microsoft Office dan Windows, namun saat ini Microsoft telah merilis update patch untuk mengatasi masalah ini.
Penjahat dunia maya cukup tanggap dan cepat dalam mengambil keuntungan dari kerentanan yang baru di ungkapkan, penjahat dunia maya langsung memberikan malware Cobalt Strike menggunakan eksploitasi CVE-2017-11882 melalui spam beberapa hari setelah pengungkapan kerentanan tersebut.
Menurut periset Fortinet, malware Cobalt Strike dikirim melalui email spam, yang menyamar sebagai pemberitahuan dari Visa mengenai perubahan peraturan di Rusia, dengan lampiran yang menyertakan dokumen RTF berbahaya, seperti yang ditunjukkan dalam gambar diatas.
Email tersebut juga berisi arsip yang dilindungi sandi dengan kredensial masuk yang diberikan di email untuk membukanya agar bisa mengelabui korban agar percaya bahwa email tersebut berasal dari layanan keuangan yang sah.
“Ini juga untuk mencegah sistem analisis otomatis mengeluarkan file berbahaya untuk sandboxing dan deteksi,” menurut periset Fortinet Jasper Manual dan Joie Salvio.
“Karena salinan dokumen berbahaya itu ada di tempat terbuka … jadi mungkin ini hanya untuk mengelabui pengguna agar berpikir bahwa sekuritas ada di tempat, yang merupakan sesuatu yang diharapkan seseorang dari sebuah email dari layanan keuangan yang banyak digunakan.”
Setelah dokumen dibuka, pengguna disajikan tampilan dokumen biasa dengan kata-kata “Enable Editing.” Namun, skrip PowerShell diam-diam dijalankan di latar belakang, yang akhirnya mendownload klien Cobalt Strike untuk mengendalikan mesin korban.
Dengan kontrol sistem korban, hacker dapat “memulai prosedur pergerakan lateral di jaringan dengan menjalankan beragam perintah,” kata periset tersebut.
Menurut para periset, penjahat dunia maya selalu mencari kerentanan semacam itu untuk memanfaatkannya dalam serangan malware mereka, dan karena mengabaikan pembaruan perangkat lunak, sejumlah besar pengguna di luar sana membiarkan sistem mereka tidak update, sehingga rentan terhadap serangan tersebut.
Cara terbaik untuk melindungi komputer kamu dari serangan malware Cobalt Strike adalah mendownload patch untuk kerentanan CVE-2017-11882 dan segera memperbarui sistem PC kamu.
