Microsoft Sebut Bug Zero Day Windows Digunakan Menyebarkan Malware Subzero

Microsoft Sebut Bug Zero Day Windows Digunakan Menyebarkan Malware Subzero

NESABAMEDIA.COMMicrosoft mengaitkan kelompok peretas yang dikenal sebagai Knotweed, ke vendor spyware Austria yang juga beroperasi sebagai tentara siber bayaran bernama DSIRF, yang menargetkan perusahaan-perusahaan asal Eropa dan Amerika. Serangan ini, diketahui dilakukan menggunakan perangkat malware yang bernama Subzero. 

Dalam situs webnya, DSIRF mempromosikan diri sebagai perusahaan yang menyediakan penelitian informasi, forensik dan layanan intelijen berbasis data kepada sejumlah perusahaan yang berminat. Namun, DSIRF telah dikaitkan dengan pengembangan malware Subzero yang bisa digunakan untuk meretas smartphone, komputer dan jaringan serta perangkat yang terhubung ke internet target.

Menggunakan data DNS pasif saat menyelidiki serangan Knotweed, firma intelijen ancaman RiskIQ juga menemukan informasi bahwa infrastruktur yang secara aktif melayani malware sejak Februari 2020, terkait dengan DSIRF. Ini termasuk situs web dan domain resminya yang kemungkinan digunakan untuk men-debug dan mengirimkan malware Subzero. 

Microsoft Threat Intelligence Center (MSTIC) juga telah menemukan banyak tautan antara DSIRF dan alat berbahaya yang digunakan dalam serangan Knotweed.

“Ini termasuk infrastruktur perintah dan kontrol yang digunakan oleh malware yang terhubng langsung ke DSIRF, akun GitHub terkait DSIRF yang digunakan dalam serangan, sertifikat penandatanganan kode yang dikeluarkan untuk DSIRF yang digunakan untuk menandai eksploitasi, dan berita sumber terbuka lainnya, yang menghubungkan Subzero dengan DSIRF,” terang Microsoft.

Beberapa serangan Knotweed yang diamati oleh Microsoft, diketahui menargetkan firma hukum, bank, dan organisasi konsultan strategis di seluruh dunia, termasuk Austria, Inggris dan Panaman. 

“Sebagai bagian dari penyelidikan kami terhadap malware ini, komunikasi Microsoft dengan korban Subzero mengungkapkan bahwa mereka tidak menugaskan pengujian tim atau penetrasi merah, dan mengkonfirmasi bahwa itu tidak sah, dan termasuk aktivitas berbahaya. Para korban yang diamati sampai saat ini termasuk firma hukum, bank dan konsultan strategis di negara-negara seperti Austria, Inggris dan Panama,” tambah Microsoft.

Malware Subzero dan Zero Day

Dalam perangkat yang terinfeksi, para pelaku mengirimkan Corelump, muatan utama yang menjalankan memori khusus untuk menghindari deteksi, dan Jumplump, sebuah pemuat malware yang dikaburkan, untuk mengunduh dan memuat Corelump ke dalam memori.

Muatan utama Subzero memiliki banyak sekali kemampuan, termasuk keylogger, membuat tangkapan layar, mencuri data, dan menjalankan shell jarak jauh dan plugin berbahaya yang diunduh dari server perintah dan pengendalinya. 

Di antara bug Zero Day yang dieksploitasi dalam serangan Knotweed ini, Microsoft menyorot kerentanan yang baru saja mereka tambal, yakni CVE-2022-22047, yang membantu para peretas untuk meningkatkan hak akses, melewati sandbox dan mendapatkan kode eksekusi tingkat sistem. 

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
Send this to a friend