Peneliti keamanan dari AlienVault telah menemukan strain malware GZipDe baru yang tampaknya menjadi bagian dari serangan yang ditargetkan — kemungkinan besar kampanye spionase cyber.
Para peneliti menemukan malware baru ini pada awal pekan ini setelah seorang pengguna dari Afghanistan mengunggah dokumen Word boobytrapped pada VirusTotal.
Dokumen itu berisi teks yang diambil dari sebuah artikel yang diterbitkan bulan lalu tentang Shanghai Cooperation Organization Summit, sebuah konferensi politik tentang topik politik, ekonomi, dan keamanan Eurasia.
Malware kemungkinan besar digunakan untuk spionase dunia maya
Karena VirusTotal menyembunyikan informasi akurat tentang sumber unggahan, target serangan ini tidak diketahui.
“Kami hanya melihat satu contoh malware,” kata Chris Doman, seorang peneliti keamanan AlienVault.
“Sepertinya sangat ditargetkan,” tambah Doman. “Mengingat dokumen umpan dalam bahasa Inggris dan diunggah dari Afghanistan, itu mungkin telah menargetkan seseorang di kedutaan atau sejenisnya di sana.”
Infeksi malware GZipDe menggunakan proses multi-step
File Word ini hanyalah langkah pertama dalam proses infeksi multi-step, yang dijelaskan Doman dalam laporan yang diterbitkan kemarin.
Dokumen memikat pengguna ke dalam pengaktifkan makro, yang kemudian mengeksekusi skrip Visual Basic, yang menjalankan beberapa kode PowerShell, yang mengunduh executable PE32, yang kemudian menjatuhkan malware yang sebenarnya – GZipDe.
Menurut Doman, GZipDe dikodekan dalam .NET, dan menggunakan “metode enkripsi khusus untuk mengaburkan proses memori dan menghindari deteksi antivirus.”
GZipDe adalah “pengunduh”, artinya perannya adalah untuk mengambil ancaman lain yang lebih kuat dari server remote.
Server kedua ini turun ketika peneliti menemukan malware, dan di bawah normal, penyelidikan akan berakhir pada fase ini. Untungnya, tim AlienVault beruntung karena mesin pencari IoT Shodan telah mengindeks server dan “merekamnya menggunakan payload Metasploit.”
GZipDe menjatuhkan backdoor berbasis Metasploit
Menganalisis shellcode yang di-log, tim AlienVault menentukan ini adalah modul Metasploit. Metasploit adalah framework yang digunakan oleh peneliti keamanan untuk penetration testing, dan modul khusus ini dikembangkan untuk berfungsi sebagai backdoor.
“Sebagai contoh, ia dapat mengumpulkan informasi dari sistem dan menghubungi server command-and-control untuk menerima perintah lebih lanjut,” kata tim AlienVault.
“Shellcode ini memuat seluruh DLL ke dalam memori, sehingga dapat beroperasi saat menulis tidak ada informasi ke dalam disk. […] Dari titik ini, penyerang dapat mengirimkan muatan lain untuk mendapatkan hak istimewa yang tinggi dan bergerak di dalam jaringan lokal.“
