Turla, kelompok cyberespionage Rusia yang sangat canggih, juga dikenal sebagai Snake dan Uroburos, selama beberapa tahun terakhir telah memakai PDF dalam surel untuk mengendalikan pintu belakang Microsoft Outlook yang tersembunyi. Para korban backdoor terbaru termasuk Kantor Luar Negeri Federal Jerman, kontraktor pertahanan yang signifikan, dan kantor gila setidaknya dari dua negara Eropa lainnya. Dalam serangan terhadap Kantor Luar Negeri Federal Jerman, Turla menjatuhkan pintu belakang pada beberapa sistem dan menggunakannya untuk mencuri data.Penelitian ESET terbaru memperlihatkan sekilas ke dalam prosedur backdoor yang sangat tersembunyi dan tangguh yang sanggup dikendalikan sepenuhnya oleh kelompok cyberespionage cyber melalui PDF yang dilampirkan pada email.
Stempel waktu dalam isyarat malware menyarankan bahwa Turla berbagi versi dasar dari backdoor Outlook pada 2009. Iterasi pertama malware hanya sanggup membuang email. Sejak itu, grup ini telah menambahkan fitur gres untuk menjadikannya alat yang sangat tersembunyi dan tangguh untuk mencuri data dari jaringan target. Pada 2013 Turla memperkenalkan kemampuan yang memungkinkan backdoor untuk mengeksekusi perintah yang dikirim melalui email dalam format XML. Pada 2006, grup ini menambahkan kemampuan malware untuk menanggapi perintah yang dikirim sebagai lampiran email dalam dokumen PDF yang dibentuk khusus. Versi terbaru yang dirilis pada April 2018 menggabungkan kemampuan untuk mengeksekusi skrip PowerShell eksklusif di memori komputer.
 |
| Sumber Gambar : Turla Outlook backdoor timeline |
Kebanyakan backdoors memakai HTTP atau HTTPS untuk berkomunikasi dengan server perintah dan kontrol (C2 atau CnC) mereka, dan beberapa memakai protokol lain menyerupai DNS. Khas, kemudian lintas jaringan yang terkait dengan protokol ini sangat dimonitor atau disaring, terutama di organisasi besar dan entitas pemerintah. Backdoor ialah pustaka tautan dinamis berdikari yang sanggup menginstal sendiri dan berinteraksi dengan Outlook dan klien email lainnya. Ini menarik data melalui pertukaran email, yang berarti bahwa dia menghindari deteksi oleh banyak produk pencegahan kehilangan data yang biasa digunakan. Data terlampir dalam wadah PDF, yang juga terlihat tidak bermasalah bagi banyak solusi. yang berarti dia menghindari deteksi oleh banyak produk pencegahan kehilangan data yang biasa digunakan. Data terlampir dalam wadah PDF, yang juga terlihat tidak bermasalah bagi banyak solusi. yang berarti dia menghindari deteksi oleh banyak produk pencegahan kehilangan data yang biasa digunakan. Data terlampir dalam wadah PDF, yang juga terlihat tidak bermasalah bagi banyak solusi.
Kemampuan backdoor Outlook
Ini sanggup berfungsi secara independen dan tidak memerlukan koneksi internet penuh dan sanggup beroperasi di komputer mana pun. Ini bermanfaat dalam lingkungan yang dikontrol ketat. Selain itu, bahkan kalau alamat email penyerang dinonaktifkan, mereka masih bisa mendapatkan kembali kendali dengan mengirimkan perintah dari alamat lain. Dengan demikian, malware ini hampir tangguh. Kemampuan lain yang signifikan dari Outlook backdoor ialah dia memakai pesan email untuk berkomunikasi dengan penyerang, alih-alih mengandalkan server C2 (Command & Control).
Gambar di bawah ini memperlihatkan pelaksanaan Kotak Pesan dan peluncuran kalkulator sehabis Outlook mendapatkan email yang berisi dokumen PDF itu. Ini memperlihatkan bahwa pintu belakang ini sepertinya dirancang untuk mendapatkan perintah melalui lampiran email PDF.
 |
| Sumber Gambar : Execution of the commands specified in the PDF document. |
Target Turla
Grup Turla telah memakai pintu belakang Outlook dalam serangan yang menargetkan beberapa pemerintah Eropa dan kontraktor pertahanan. Sejauh ini, kelompok itu telah memakai pintu belakang untuk menargetkan Menteri Luar Negeri Perancis dan Organisasi Keamanan dan Kerjasama Eropa . Sebagian besar pemerintah mempunyai jaringan yang sangat ketat. Organisasi berisiko tidak hanya dimata-matai oleh kelompok Turla yang menanam pintu belakang, tetapi juga oleh penyerang lainnya. Backdoor mengeksekusi semua perintah yang diterimanya, tanpa bisa mengenali operator. Sangat penting untuk memantau email untuk sikap yang tidak biasa, menyerupai penerusan setiap email ke alamat email eksternal.
Organisasi harus memberi tahu karyawan mereka wacana penipuan ini dan mengatakan training Kesadaran Keamanan secara teratur. Demikian info seputar backdoor agar kita menjadi lebih waspada terhadap serangan cyber.
0 Response to "Email Lampiran Pdf Untuk Mengontrol Backdoor Siluman"
Post a Comment