Praktik Terbaik TI/Keamanan Sibermalware

Grup Ancaman UNC4990: Memanfaatkan Perangkat USB dan Platform yang Sah

Penelitian ITFunk
Penelitian ITFunk
Grup Ancaman UNC4990: Memanfaatkan Perangkat USB dan Platform yang Sah

Dalam pengungkapannya baru-baru ini, perusahaan keamanan siber Mandiant telah mengungkap aktivitas aktor ancaman bermotivasi finansial yang dikenal sebagai UNC4990. Kelompok canggih ini menggunakan kombinasi unik serangan berbasis USB dan eksploitasi platform online yang sah, termasuk GitHub, Vimeo, dan Ars Technica. Dengan menyembunyikan muatan yang dikodekan dalam konten yang tampaknya tidak berbahaya pada platform ini, UNC4990 berhasil menghindari deteksi dan memanfaatkan kepercayaan yang terkait dengan jaringan pengiriman konten yang memiliki reputasi baik.

Konten
Taktik Serangan Berbasis USB UNC4990Pintu Belakang Multi-Komponen UNC4990: QUIETBOARDMelindungi Terhadap UNC4990 dan Ancaman Serupa

Taktik Serangan Berbasis USB UNC4990

Tindakan UNC4990 melibatkan memulai kampanye melalui Perangkat USB berisi file pintasan LNK berbahaya. Setelah file-file ini dieksekusi secara tidak sengaja oleh korban, skrip PowerShell bernama explorer.ps1 dipicu. Skrip ini, pada gilirannya, mengunduh muatan perantara, yang diterjemahkan untuk mengungkapkan URL yang mengambil pengunduh malware yang disebut 'EMPTYSPACE.'

Pelaku ancaman menyebarkan berbagai metode hosting untuk muatan perantara ini, termasuk file teks yang disandikan di GitHub dan GitLab. Namun, kelompok tersebut telah mengubah strategi untuk mengeksploitasi Vimeo dan Ars Technica untuk menampung muatan string yang dikodekan Base64 dan dienkripsi AES. Yang penting, UNC4990 tidak mengeksploitasi kerentanan dalam platform ini tetapi dengan cerdik menggunakan fitur-fitur biasa, seperti profil forum Ars Technica dan deskripsi video Vimeo.

Payload ini, yang tampaknya merupakan string teks yang tidak berbahaya dalam platform hosting, memainkan peran penting dalam rantai serangan, memfasilitasi pengunduhan dan eksekusi malware. Dengan menyematkan muatan berbahaya dalam konten yang sah dan memanfaatkan platform terkemuka, UNC4990 berhasil beroperasi di bawah radar, sehingga menyulitkan sistem keamanan untuk menandainya sebagai muatan mencurigakan.

Pintu Belakang Multi-Komponen UNC4990: QUIETBOARD

Saat rantai serangan UNC4990 berkembang, kelompok ancaman menyebarkan QUIETBOARD, sebuah pintu belakang canggih dengan beragam kemampuan. Setelah diaktifkan, pintu belakang multi-komponen ini menjalankan perintah dari server perintah dan kontrol (C2). Beberapa fungsinya termasuk mengubah konten papan klip untuk pencurian mata uang kripto, menginfeksi drive USB untuk menyebarkan malware, menangkap tangkapan layar untuk pencurian informasi, dan mengumpulkan informasi sistem dan jaringan secara terperinci. QUIETBOARD menunjukkan kegigihan saat reboot sistem dan mendukung penambahan fungsi baru melalui modul tambahan.

Meskipun terdapat upaya pencegahan tradisional, malware berbasis USB tetap menjadi ancaman yang signifikan, dan berfungsi sebagai media penyebaran yang efektif bagi penjahat dunia maya. Pendekatan inovatif UNC4990 dalam menggunakan platform yang tampaknya tidak berbahaya untuk muatan perantara menantang paradigma keamanan konvensional dan menekankan perlunya kewaspadaan terus-menerus dalam lanskap dinamis keamanan siber.

Melindungi Terhadap UNC4990 dan Ancaman Serupa

  1. Tingkatkan Keamanan Titik Akhir: Perkuat langkah-langkah keamanan titik akhir untuk mendeteksi dan mencegah eksekusi file pintasan LNK dan skrip PowerShell yang berbahaya.
  2. Kewaspadaan Perangkat USB: Berhati-hatilah saat menggunakan perangkat USB dan hindari mengeksekusi file asing atau mencurigakan.
  3. Audit Keamanan Reguler: Melakukan audit keamanan rutin untuk mengidentifikasi dan memitigasi kerentanan dalam sistem dan jaringan.
  4. Pendidikan Pengguna: Mendidik pengguna tentang risiko yang terkait dengan serangan berbasis USB dan pentingnya menghindari konten yang tidak diketahui atau belum diverifikasi.
  5. Pemantauan Jaringan: Terapkan pemantauan jaringan yang kuat untuk mendeteksi aktivitas dan komunikasi tidak biasa yang mungkin mengindikasikan adanya kompromi.
  6. Perbarui Kebijakan Keamanan: Perbarui kebijakan keamanan secara rutin untuk mengatasi ancaman yang terus berkembang dan memperkuat tindakan pencegahan.

Taktik UNC4990 menggarisbawahi perlunya pendekatan keamanan siber yang proaktif dan berlapis. Organisasi dan individu harus tetap mendapat informasi, tetap waspada, dan terus menyesuaikan praktik keamanan mereka untuk mencegah munculnya penyakit ini ancaman. Menghadapi strategi inovatif UNC4990, upaya kolektif untuk meningkatkan ketahanan keamanan siber adalah hal yang terpenting.

Anda mungkin juga menyukai

Ransomware NBLock
Iklan Podomming.com
Adware Panneyess.com
AtlasCross RAT
Marco Stealer
TAG:
Bagikan Artikel Ini
Sebelumnya Pasal Re-captha-version-3-21.icu Pembajak Peramban: Panduan Komprehensif
Pasal berikutnya CVE-2022-48618: Cacat Apple di macOS, iOS Dieksploitasi Secara Aktif
Tinggalkan Komentar

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai *

Pindai Sistem Anda untuk Mencari Malware

Jangan biarkan sistem Anda tidak terlindungi. Unduh Spyhunter hari ini secara gratis, dan pindai perangkat Anda untuk mencari malware, penipuan, atau potensi ancaman lainnya. Tetap Terlindungi!

Unduh SpyHunter 5
✅ Pemindaian Gratis Tersedia • ⭐ Menangkap malware secara instan