Aktor ancaman yang terkait dengan serangan ransomware Black Basta telah menggunakan loader baru yang serupa dengan yang terkenal Qakbot yang sulit dibunuh, dalam kampanye phishing yang meluas yang bertujuan untuk mendapatkan akses ke jaringan organisasi untuk aktivitas jahat lebih lanjut.

Dilacak sebagai Water Curupira oleh Trend Micro, aktor ini terkenal karena melakukan kampanye berbahaya untuk menjatuhkan pintu belakang seperti Cobalt Strike yang pada akhirnya mengarah pada serangan ransomware Black Basta, kata para peneliti di sebuah posting yang diterbitkan 9 Januari.

Water Curupira aktif pada kuartal pertama tahun 2023, kemudian tampak istirahat pada akhir Juni yang berlangsung hingga awal September, ketika kampanye dimulai kembali dengan sungguh-sungguh, menurut Trend Micro. Baru-baru ini, aktor tersebut melakukan kampanye phishing yang menjatuhkan loader baru, Pikabot — yang memiliki kemiripan dan bahkan bisa menjadi pengganti Qakbot, sebuah Trojan akses awal yang sering didahului Ransomware Black Basta dan dihapus dalam operasi penegakan hukum yang disebut Operasi Perburuan Bebek pada bulan Agustus 2023.

“Peningkatan jumlah kampanye phishing terkait Pikabot tercatat pada kuartal terakhir tahun 2023, bertepatan dengan penghapusan Qakbot,” menurut postingan tersebut, yang dikaitkan dengan peneliti Trend Micro.

Water Curupira juga melakukan beberapa kampanye spam DarkGate dan IcedID selama minggu-minggu awal kuartal ketiga tahun 2023, tetapi sejak itu beralih secara eksklusif ke Pikabot, kata mereka.

Qakbot telah bertahan sebagai ancaman bahkan setelah penghapusannya, yang membuat malware tersebut tidak dapat digunakan pada sekitar 700,000 mesin yang terinfeksi. Namun Pikabot — yang mencakup pemuat dan modul inti dalam file yang sama, serta kode shell yang mendekripsi muatan dalam bentuk file DLL dari sumber dayanya — juga muncul dalam kampanye Water Curupira dengan misi serupa.

Sejauh ini, para peneliti telah mengamati kelompok suar Cobalt Strike yang berbeda dengan lebih dari 70 domain perintah dan kontrol (C2) yang mengarah ke Basta Hitam yang telah dihilangkan oleh kampanye Water Curupira, kata mereka.

Thread-Jacking untuk Legitimasi

Kampanye Pikabot Water Curupira dimulai dengan email phishing yang menggunakan thread-jacking, sebuah teknik yang menggunakan rangkaian email yang ada — kemungkinan dicuri dari korban sebelumnya — untuk membuat email yang terlihat seperti bagian dari percakapan sebelumnya. Hal ini meningkatkan kemungkinan korban menganggap email tersebut sah dan berinteraksi dengan pelaku ancaman.

Kampanye ini mengirimkan email menggunakan alamat yang dibuat melalui domain baru atau layanan email gratis yang menggunakan nama yang dapat ditemukan di rangkaian email asli yang dibajak. Pesan tersebut mencakup sebagian besar konten thread asli, termasuk subjek email, tetapi juga menambahkan pesan singkat di atasnya yang mengarahkan penerima untuk membuka lampiran email berbahaya.

Lampirannya berupa file .ZIP arsip yang dilindungi kata sandi yang berisi file .IMG, atau file .PDF yang berisi JavaScript yang sangat dikaburkan, dan kata sandi untuk file tersebut disertakan dalam pesan email. Aktor tersebut menggunakan berbagai nama dan kata sandi untuk lampiran file yang diamati dalam kampanye tersebut, catat para peneliti.

Setelah dieksekusi oleh korban, JavaScript akan mencoba menjalankan serangkaian perintah menggunakan eksekusi bersyarat untuk akhirnya mengunduh Pikabot dari server eksternal, dan kemudian mengeksekusi malware.

Jika lampiran berbahaya adalah file .IMG, maka file tersebut berisi dua file tambahan — file .LNK yang menyamar sebagai dokumen Word dan file DLL, yang terakhir adalah muatan Pikabot yang diekstraksi langsung dari lampiran email.

Sejauh muatannya sendiri, Pikabot tidak akan menyerang sistem jika mendeteksi penggunaan bahasa Rusia atau Ukraina sebagai bahasa intinya, menunjukkan bahwa Water Curupira mungkin selaras dengan salah satu atau kedua negara tersebut. Modul intinya melakukan serangan multi-tahap yang menyaring berbagai detail tentang sistem yang terinfeksi dan mengirimkan C2 yang dikendalikan oleh aktor, yang kemudian memiliki akses ke sistem untuk melakukan aktivitas berbahaya lebih lanjut.

Menghindari Kompromi Malware Pikabot

Trend Micro menyertakan daftar indikator kompromi (IoC) dalam postingannya dan menyarankan agar semua pengguna harus tetap waspada saat menerima email, menerapkan praktik terbaik untuk menghindari menjadi korban. Phishing, yang tetap menjadi cara utama bagi pelaku ancaman untuk memasuki sistem perusahaan.

Praktik tersebut harus mencakup mengarahkan kursor ke tautan yang tertanam dengan penunjuk untuk mengetahui ke mana tautan tersebut mengarah, serta memeriksa identitas pengirim, memastikan untuk menandai alamat email yang tidak dikenal, email dan nama pengirim yang tidak cocok, dan email perusahaan yang dipalsukan sebagai kemungkinan berbahaya.

Jika email mengaku berasal dari perusahaan yang sah, penerima harus memverifikasi pengirim dan konten email sebelum mengunduh lampiran atau memilih tautan yang disematkan. Para peneliti juga menyarankan kebersihan keamanan dasar untuk menjaga OS dan perangkat lunak lainnya selalu diperbarui dengan patch terbaru, serta pencadangan rutin untuk menjaga data penting tetap tersimpan di lokasi eksternal yang aman.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/pikabot-malware-qakbot-replacement-black-basta-attacks