Menggunakan Vision One, mengamati insiden keamanan terbaru di mana seorang pengguna menjadi target penyerang yang menyamar sebagai karyawan dari klien yang dikenal dalam panggilan Microsoft Teams. Penyerang menginstruksikan korban untuk mengunduh aplikasi desktop jarak jauh AnyDesk, yang kemudian digunakan untuk menyebarkan malware DarkGate. DarkGate, yang didistribusikan melalui skrip AutoIt, memungkinkan kontrol jarak jauh atas komputer korban, menjalankan perintah berbahaya, mengumpulkan informasi sistem, dan terhubung ke server command-and-control (C&C). Dalam artikel ini, kami membahas bagaimana pelanggaran ini terjadi secara bertahap, dengan menekankan pentingnya langkah-langkah keamanan yang kokoh dan kesadaran terhadap serangan rekayasa sosial.
Tahap Serangan
- Akses Awal
Penyerang menggunakan rekayasa sosial untuk memanipulasi korban agar memberikan akses ke sistem komputer. Korban melaporkan menerima ribuan email sebelum menerima panggilan di Microsoft Teams dari seseorang yang mengaku sebagai karyawan pemasok eksternal. Selama panggilan, korban diminta untuk mengunduh aplikasi Microsoft Remote Support. Karena pengunduhan melalui Microsoft Store gagal, korban diarahkan untuk mengunduh AnyDesk melalui browser dan dimanipulasi untuk memasukkan kredensial AnyDesk-nya.
- Eksekusi
Setelah AnyDesk.exe diunduh, aplikasi ini dijalankan sebagai layanan lokal dengan perintah:
C:\Users\<user>\Downloads\AnyDesk.exe –local-service
Beberapa menit kemudian, cmd.exe melanjutkan rundll32.exe untuk memuat SafeStore.dll, yang kemungkinan besar didistribusikan melalui AnyDesk.exe. Proses ini menggunakan teknik DLL side-loading untuk mengeksekusi fungsi yang diekspor dari SafeStore.dll.
- Discovery (Penemuan Sistem)
DarkGate menggunakan beberapa perintah untuk mengumpulkan informasi sistem, seperti:
- cmd /c systeminfo
- cmd /c route print
- cmd /c ipconfig /all
Data yang terkumpul disimpan dalam file teks bernama 123.txt.
- Penyebaran Skrip AutoIt
File executable SystemCert.exe mendistribusikan skrip AutoIt (script.a3x) dan menjalankannya dengan perintah:
c:\temp\test\AutoIt3.exe c:\temp\test\script.a3x
Skrip ini mengenkripsi payload-nya sendiri dan menyuntikkannya ke proses sah seperti MicrosoftEdgeUpdateCore.exe.
- Evasion (Menghindari Deteksi)
AutoIt mencari antivirus yang terinstal di sistem dan membuat banyak file dengan nama acak untuk menghindari deteksi.
- Command and Control (C&C)
Proses terinfeksi terhubung ke server C&C (IP: 179.60.149[.]194). Proses ini diikuti oleh eksekusi PowerShell yang mendistribusikan payload akhir DarkGate.
- Aktivitas Pasca-Instalasi
Untuk mempertahankan eksistensinya, malware menciptakan beberapa file, termasuk log keylogging terenkripsi, salinan dirinya sendiri, dan entri registry untuk otomatisasi saat startup.
Kesimpulan dan Rekomendasi Keamanan
Dalam kasus ini, serangan dihentikan sebelum mencapai tujuannya. Namun, ancaman DarkGate terus berkembang, dengan distribusi utamanya melalui phishing, malvertising, dan SEO poisoning.
Langkah-langkah perlindungan yang direkomendasikan:
- Verifikasi pihak ketiga: Pastikan setiap klaim afiliasi vendor diverifikasi secara langsung sebelum memberikan akses jarak jauh.
- Whitelist aplikasi jarak jauh: Hanya izinkan penggunaan aplikasi yang diverifikasi dan terapkan autentikasi multi-faktor (MFA).
- Pelatihan karyawan: Tingkatkan kesadaran tentang taktik rekayasa sosial, phishing, dan bahaya panggilan dukungan tidak diminta.
Solusi keamanan berlapis seperti Trend Micro Apex One™ dengan XDR memberikan perlindungan menyeluruh terhadap serangan siber, termasuk pemantauan dan respons 24/7 melalui Managed XDR.
Trend Micro Vision One Threat Intelligence
Pelanggan dapat mengakses laporan intelijen ancaman dan wawasan untuk tetap terdepan dalam menghadapi ancaman yang berkembang.
Query Perburuan Ancaman:
- eventSubId: 101 – TELEMETRY_FILE_CREATE
- eventSubId: 2 – TELEMETRY_PROCESS_CREATE
Wawasan ini memungkinkan organisasi mengambil langkah proaktif untuk melindungi lingkungan mereka dan merespons ancaman secara efektif.