COVID-19 SCADA Malware untuk Mencuri Data

Sebuah kampanye malware baru telah ditemukan menggunakan kata-kata yang bertema coronavirus untuk menyerang sektor pemerintah dan energi di Azerbaijan dengan remote access trojans (RAT) mampu menarik dokumen sensitif, penekanan tombol, password, dan bahkan gambar dari webcam.

Serangan yang ditargetkan mempekerjakan dokumen Microsoft Word sebagai droppers untuk menyebarkan Python-based RAT yang sebelumnya tidak dikenal dijuluki "PoetRAT".

Shakespeare. "RAT memiliki semua fitur standar jenis malware, menyediakan kontrol penuh dari sistem dikompromikan untuk operasi," kata Cisco Talos dalam analisis yang diterbitkan minggu lalu.

Menurut para peneliti, malware khusus menargetkan supervisory control and data acquisition (SCADA) sistem dalam industri energi, seperti sistem turbin angin, identitas yang saat ini tidak diketahui.

Perkembangannya adalah yang terbaru dalam lonjakan serangan Cyber yang mengeksploitasi ketakutan pandemi virus yang sedang berlangsung sebagai umpan untuk memasang malware, mencuri informasi, dan menghasilkan keuntungan.

Menggunakan Lures bertema COVID-19 sebagai Decoy

Kampanye ini bekerja dengan menambahkan PoetRAT ke dokumen Word, yang ketika dibuka, mengeksekusi makro yang mengekstrak malware dan menjalankannya.

Mekanisme distribusi yang tepat dari kata dokumen tetap tidak jelas, tetapi mengingat bahwa dokumen yang tersedia untuk di-download dari URL sederhana, para peneliti menduga bahwa korban sedang ditipu untuk men-download RAT melalui URL berbahaya atau email phishing.

Talos mengatakan ditemukan bahwa serangan dalam tiga gelombang dimulai pada bulan Februari, beberapa yang menggunakan dokumen umpan yang mengaku dari lembaga pemerintah Azerbaijan dan organisasi di India Defense Research and Development Organization (DRDO), atau menyinggung covid-19 dalam nama file mereka ("C19. docx") tanpa konten yang sebenarnya.

Terlepas dari vektor serangan, makro skrip Visual Basic dalam dokumen menulis malware ke disk sebagai file arsip bernama "Smile.zip," yang terdiri dari penerjemah Python dan Rat itu sendiri.

Skrip Python juga memeriksa lingkungan di mana dokumen dibuka untuk memastikannya tidak ada di Sandbox — berdasarkan asumsi bahwa Sandbox memiliki hard disk yang lebih kecil dari 62gb. Jika mendeteksi lingkungan sandbox, itu akan menghapus sendiri dari sistem.

Membuat modifikasi Registry untuk mendapatkan Persistensi

Adapun RAT, muncul dengan dua skrip: sebuah "frown.py" yang bertanggung jawab untuk berkomunikasi dengan server Command-and-Control (C2) remote dengan pengenal perangkat unik, dan "smile.py" yang menangani eksekusi perintah C2 pada mesin yang disusupi.

Perintah memungkinkan penyerang untuk mengunggah file sensitif, menangkap tangkapan layar, menghentikan proses sistem, memasukkan tombol log ("Klog.exe"), dan mencuri sandi yang disimpan di browser ("Browdec.exe").

Selain itu, musuh di balik kampanye juga menerapkan alat eksploitasi tambahan, termasuk "Dog.exe,". Malware berbasis NET yang memonitor jalur hard drive, dan secara otomatis mentransmisikan informasi melalui akun email atau FTP. Alat lain yang disebut "Bewmac" memungkinkan penyerang untuk merebut kontrol dari webcam korban.

Malware mendapatkan persistensi dengan membuat kunci registri untuk mengeksekusi skrip Python dan bahkan dapat membuat modifikasi registri untuk memotong pemeriksaan penghindaran Sandbox tersebut, mungkin untuk menghindari memeriksa kembali lingkungan yang sama lagi.

Penyerang ingin tidak hanya informasi spesifik yang Diperoleh dari para korban tetapi juga cache penuh informasi yang berkaitan dengan korban mereka. Dengan menggunakan Python dan alat berbasis Python lainnya selama kampanyenya, aktor mungkin menghindari pendeteksian oleh alat tradisional yang memiliki teknik eksekusi Python dan Python yang diizinkan.