Mengungkap Ancaman Baru: RAT SugarGh0st Menyusup Melalui Pintasan Windows dan JavaScript Berbahaya

idNSA.id - Penggunaan Remote Access Trojans (RATs) oleh peretas untuk mendapatkan akses tak sah dan kontrol atas komputer korban dari jarak jauh semakin meresahkan. RAT memungkinkan pelaku ancaman untuk melakukan serangkaian tindakan jahat, seperti mencuri informasi sensitif, melakukan pemantauan aktivitas, dan menyebarkan malware tambahan. Baru-baru ini, peneliti keamanan siber dari Cisco Talos menemukan sebuah kampanye jahat yang memperkenalkan RAT baru yang diberi nama "SugarGh0st." Analisis keamanan menunjukkan bahwa kampanye ini telah aktif sejak awal Agustus 2023.

Distribusi Melalui Pintasan Windows dan JavaScript:

Dalam kampanye ini, distribusi RAT SugarGh0st dilakukan melalui Windows Shortcut dan JavaScript berbahaya. Tim peneliti Talos mengidentifikasi empat sampel yang secara khusus menargetkan pengguna di dua negara, yaitu Uzbekistan dan Korea Selatan. Sampel-sampel ini termasuk arsip dengan file Windows Shortcut LNK, yang mengirimkan dokumen umpan terkait keputusan presiden di Uzbekistan. Isi dokumen umpan ini sesuai dengan sumber Uzbekistan tahun 2021. Vektor awal yang mungkin digunakan adalah email phishing dengan arsip RAR berbahaya yang dikirim ke pegawai Kementerian Luar Negeri. Kampanye ini juga meluas ke Korea Selatan dengan tiga dokumen umpan berbahasa Korea yang dijatuhkan melalui file JavaScript berbahaya dalam Windows Shortcut.

Teknik Penipuan dan Target:

Dokumen umpan meniru pemberitahuan akun Microsoft, memanfaatkan konten berita blockchain, dan memberikan instruksi pemeliharaan komputer. Permintaan domain C2 dari IP Korea Selatan semakin menguatkan fokus kampanye ini. Artefak menunjukkan kemungkinan aktor yang menggunakan bahasa Cina, dengan file umpan menampilkan nama dalam bahasa Cina Sederhana.

Jejak China:

Preferensi aktor untuk menggunakan SugarGh0st, sebagai varian RAT Gh0st yang disesuaikan, sejalan dengan praktik aktor ancaman China yang sudah dikenal sejak tahun 2008. Sejarah menunjukkan bahwa aktor-aktor Tiongkok secara konsisten menargetkan Uzbekistan, dan hal ini mendukung kesesuaian kampanye saat ini dengan Kementerian Luar Negeri.

Asal Usul dan Evolusi SugarGh0st:

SugarGh0st, sebagai varian RAT Gh0st yang disesuaikan, dapat ditelusuri kembali ke rilis Tim Keamanan C.Rufus Cina pada tahun 2008. Ketersediaan kode sumber publik Gh0st RAT telah menghasilkan berbagai varian yang menjadi favorit aktor berbahasa Mandarin untuk keperluan pengawasan.

Capaian SugarGh0st:

SugarGh0st meningkatkan kegiatan pengintaian dengan mencari kunci registri ODBC tertentu dan mengubah protokol komunikasi C2. Ini disesuaikan dengan fitur untuk administrasi jarak jauh dan untuk menghindari deteksi, sejalan dengan kemampuan Gh0st RAT, termasuk kontrol jarak jauh, pencatatan kunci, akses webcam, dan eksekusi biner arbitrer.

Rantai Infeksi:

RANTAI 1: RAR berbahaya dengan Windows Shortcut memicu JavaScript dan menghasilkan elemen-elemen seperti payload SugarGh0st terenkripsi, pemuat DLL, dan skrip batch. Skrip batch dieksekusi melalui rundll32 yang dimuat secara bersamaan (sideloaded), mendekripsi payload untuk dijalankan secara reflektif.

RANTAI 2: RAR dengan pintasan Windows berbahaya menjalankan perintah untuk mengeksekusi JavaScript di direktori %TEMP%, menggunakan cscript. Selanjutnya, dalam tahap berikutnya, JavaScript men-download dokumen umpan, DynamicWrapperX DLL, dan payload SugarGh0st yang terenkripsi. DLL yang sah mengaktifkan shellcode untuk muatan SugarGh0st.

Kesimpulan:

Penemuan RAT SugarGh0st dalam kampanye terkini ini menyoroti taktik evolusi pelaku ancaman. Penting bagi organisasi dan individu di Uzbekistan dan Korea Selatan untuk tetap waspada terhadap upaya phishing dan memastikan bahwa sistem mereka selalu diperbarui dengan patch keamanan terbaru untuk mengurangi risiko serangan siber yang semakin canggih.