Karena sebagian besar perangkat keamanan juga mengawasi lalu lintas jaringan untuk mendeteksi alamat IP jahat, penyerang semakin mengadopsi infrastruktur layanan yang sah dalam serangan mereka. Dalam hal ini untuk menyembunyikan kegiatan jahat mereka menggunakan Malware RogueRobin untuk exploitasi.
Para peneliti Cybersecurity sekarang telah melihat serangan malware baru yang dikaitkan dengan DarkHydrus APT Group yang terkenal jahat. Mereka menggunakan Google Drive sebagai command and control server (C2).
DarkHydrus pertama kali terungkap pada Agustus tahun lalu ketika kelompok APT memanfaatkan alat Phishery open-source untuk melakukan serangan pemanenan kredensial terhadap entitas pemerintah dan lembaga pendidikan di Timur Tengah.
Serangan jahat terbaru yang dilakukan oleh kelompok APH DarkHydrus juga diamati terhadap target di Timur Tengah, menurut laporan yang diterbitkan oleh 360 Threat Intelligence Center ( 360TIC ) dan Palo Alto Networks.
Kali ini penyerang tingkat lanjut menggunakan Trojan backdoor varian baru mereka, yang disebut malware RogueRobin , yang menginfeksi komputer korban dengan menipu mereka agar membuka dokumen Microsoft Excel yang berisi makro VBA tertanam, alih-alih mengeksploitasi kerentanan Windows zero-day apa pun.
Mengaktifkan makro menjatuhkan file teks berbahaya (.txt) di direktori sementara dan kemudian memanfaatkan aplikasi ‘regsvr32.exe’ yang sah untuk menjalankannya, akhirnya menginstal backdoor RogueRobin yang ditulis dalam bahasa pemrograman C # pada sistem yang dikompromikan.
Menurut para peneliti Palo Alto, RogueRobin menyertakan banyak fungsi sembunyi-sembunyi untuk memeriksa apakah itu dijalankan di lingkungan kotak pasir, termasuk memeriksa lingkungan tervirtualisasi, memori rendah, jumlah prosesor, dan alat analisis umum yang berjalan pada sistem. Ini juga mengandung kode anti-debug.
Seperti versi aslinya, varian baru RogueRobin juga menggunakan tunneling DNS — teknik mengirim atau mengambil data dan perintah melalui paket query DNS — untuk berkomunikasi dengan server command and control.
Namun, para peneliti menemukan bahwa selain tunneling DNS, malware RogueRobin juga telah dirancang untuk menggunakan Google Drive API sebagai saluran alternatif untuk mengirim data dan menerima perintah dari para peretas.
“RogueRobin mengunggah file ke akun Google Drive dan terus memeriksa waktu modifikasi file untuk melihat apakah aktor telah melakukan perubahan padanya. Aktor tersebut pertama-tama akan memodifikasi file untuk memasukkan pengidentifikasi unik yang akan digunakan oleh Trojan untuk komunikasi di masa mendatang, “Kata peneliti Palo Alto.
Serangan malware RogueRobin baru menunjukkan bahwa kelompok peretasan APT bergeser lebih ke arah penyalahgunaan layanan yang sah untuk infrastruktur command and control mereka untuk menghindari deteksi.
Perlu dicatat bahwa karena makro VBA adalah fitur yang sah, sebagian besar solusi antivirus tidak menandai peringatan atau memblokir dokumen MS Office dengan kode VBA.
Cara terbaik untuk melindungi diri Anda dari serangan malware semacam itu adalah selalu curiga terhadap dokumen tidak diundang yang dikirim melalui email dan tidak pernah mengklik tautan di dalam dokumen itu kecuali memverifikasi sumber dengan benar.
