Kelompok cybercriminal di balik kampanye malware DNSpionage yang terkenal telah ditemukan menjalankan operasi canggih baru yang menginfeksi korban terpilih dengan varian baru malware DNSpionage.
Pertama kali terungkap pada November tahun lalu, serangan DNSpionage menggunakan situs yang dikompromikan dan membuat dokumen berbahaya untuk menginfeksi komputer korban dengan DNSpionage — alat administrasi jarak jauh khusus yang menggunakan komunikasi HTTP dan DNS untuk berkomunikasi dengan perintah dan server kontrol yang dikendalikan penyerang.
Menurut sebuah laporan baru diterbitkan oleh tim riset ancaman Talos Cisco, grup ini telah mengadopsi beberapa taktik, teknik, dan prosedur baru untuk meningkatkan kemanjuran operasi mereka, menjadikan serangan cyber mereka lebih bertarget, terorganisir, dan canggih di alam.
Tidak seperti kampanye sebelumnya, penyerang sekarang mulai melakukan pengintaian pada korbannya sebelum menginfeksi mereka dengan malware baru, dijuluki Karkoff , yang memungkinkan mereka untuk secara selektif memilih target yang akan diinfeksi agar tetap tidak terdeteksi.
"Kami mengidentifikasi tumpang tindih infrastruktur dalam kasus DNSpionage dan Karkoff," kata para peneliti.
Selama fase Pengintaian, penyerang mengumpulkan informasi sistem yang terkait dengan lingkungan workstation, sistem operasi, domain, dan daftar proses yang berjalan pada mesin korban.
"Malware mencari dua platform anti-virus spesifik: Avira dan Avast. Jika salah satu dari produk keamanan ini diinstal pada sistem dan diidentifikasi selama fase pengintaian, bendera tertentu akan ditetapkan, dan beberapa opsi dari file konfigurasi akan menjadi diabaikan, "kata para peneliti.
Dikembangkan dalam .NET, Karkoff memungkinkan penyerang untuk mengeksekusi kode arbitrer pada host yang dikompromikan dari jarak jauh dari server C&C mereka. Cisco Talos mengidentifikasi Karkoff sebagai malware tidak berdokumen awal bulan ini.
Yang menarik adalah bahwa malware Karkoff menghasilkan file log pada sistem korban yang berisi daftar semua perintah yang telah dijalankan dengan stempel waktu.
"File log ini dapat dengan mudah digunakan untuk membuat timeline dari eksekusi perintah yang dapat sangat berguna ketika menanggapi jenis ancaman ini," para peneliti menjelaskan.
"Dengan mengingat hal ini, organisasi yang berkompromi dengan malware ini akan memiliki kesempatan untuk meninjau file log dan mengidentifikasi perintah yang dilakukan terhadap mereka."
Seperti kampanye DNSpionage terakhir, serangan yang baru-baru ini ditemukan juga menargetkan wilayah Timur Tengah, termasuk Lebanon dan Uni Emirat Arab (UEA).
Selain menonaktifkan makro dan menggunakan perangkat lunak antivirus yang andal, Anda harus tetap waspada dan selalu mendapat informasi tentang teknik rekayasa sosial untuk mengurangi risiko menjadi korban serangan tersebut.
Karena beberapa laporan publik tentang serangan pembajakan DNS , Departemen Keamanan Dalam Negeri AS (DHS) AS awal tahun ini mengeluarkan "arahan darurat" untuk semua lembaga federal yang memerintahkan staf TI untuk mengaudit catatan DNS untuk masing-masing domain situs web mereka, atau yang dikelola lembaga lainnya domain.
Sumber Artikel : TheHackerNews
