MostereRAT Diam-diam Incar Pengguna Windows

Serangan phising yang sukses biasanya menggabungkan taktik penipuan korban yang canggih dengan lapisan kerahasiaan, persistensi, dan teknik penghindaran canggih.

Hal ini memungkinkan aktor ancaman untuk mempertahankan akses secara diam-diam di seluruh sistem dan jaringan yang berhasil disusupi.

Sebuah contoh utama adalah operasi baru yang menggunakan malware perbankan yang berubah menjadi Remote Access Trojan (RAT), yang dilacak oleh peneliti sebagai MostereRAT.

Malware ini memiliki keunikannya sendiri yaitu:

Menggunakan bahasa pemrograman yang tidak umum.
Merusak alat keamanan.
Menyalahgunakan perangkat lunak sah yang banyak digunakan untuk memberikan kontrol tersembunyi dan jangka panjang kepada penyerang siber di lingkungan korban.

Dalam sebuah laporan, memperingatkan bahwa operasi ini mewakili eskalasi yang mengkhawatirkan dalam taktik penyerang, terutama terkait dengan menonaktifkan pertahanan antivirus (AV) dan endpoint.

Serta menyembunyikan aktivitas berbahaya dengan menyatu ke dalam aktivitas IT normal. Sejauh ini, operasi tersebut menargetkan pengguna Microsoft Windows, namun tujuan akhirnya masih belum jelas.

Tujuan Strategis Jangka Panjang

Desain malware ini mencerminkan tujuan jangka panjang, strategis, dan fleksibel, dengan kemampuan untuk:

Memperluas fungsionalitas.
Menyebarkan muatan tambahan.
Dan menerapkan teknik penghindaran.

Fitur-fitur ini menunjukkan niat untuk mempertahankan kontrol yang persisten atas sistem yang disusupi, memaksimalkan utilitas sumber daya korban, dan mempertahankan akses berkelanjutan ke data berharga.

Operasi phising ini dimulai dengan cara yang cukup umum, yaitu dengan email yang dirancang untuk memancing pengguna Windows agar mengeklik tautan ke situs web berbahaya.

Situs tersebut kemudian secara otomatis mengunduh dokumen Word yang dipersenjatai, yang berisi berkas arsip yang disematkan. Email phising itu sendiri menyamar sebagai korespondensi bisnis yang sah dan tampak seperti pertanyaan bisnis rutin.

Dokumen Word yang dipasangi jebakan bertindak sebagai sarana untuk menyiapkan infrastruktur dan mekanisme persistensi untuk menyebarkan MostereRAT pada sistem yang disusupi.

Salah satu hal yang membedakan malware ini adalah fakta bahwa modulnya ditulis dalam Easy Programming Language (EPL), sebuah bahasa pemrograman Tiongkok yang jarang digunakan oleh aktor ancaman untuk pengembangan malware.

Tujuannya, menurut peneliti adalah untuk mempersulit para keamanan IT dalam mendeteksi dan menganalisis malware tersebut, karena banyak alat keamanan tidak dioptimalkan untuk menangani bahasa tersebut.

Kemampuan yang Sangat Mengkhawatirkan

Peneliti menyoroti beberapa kemampuan MostereRAT yang sangat mengkhawatirkan bagi para keamanan IT. Salah satunya adalah kemampuan malware untuk berjalan sebagai TrustedInstaller pada sistem yang terinfeksi, sehingga:

Memberinya hak istimewa untuk memodifikasi berkas sistem, entri registri, dan pengaturan keamanan yang bahkan tidak selalu dapat diakses oleh administrator.
Kemampuan lainnya adalah MostereRAT dapat menyebarkan alat akses jarak jauh yang sah seperti AnyDesk dan TightVNC pada mesin yang disusupi, yang memberikan kontrol jarak jauh penuh kepada penyerang atas sistem yang disusupi tanpa menimbulkan red flag.

MostereRAT juga berisi daftar nama-nama produk AV dan EDR yang tertanam dalam instalasinya, sehingga dapat secara sistematis mencari dan menonaktifkannya.

Malware ini kemudian menggunakan filter Windows Filtering Platform (EFP) untuk memblokir produk keamanan agar tidak mengirimkan:

Data deteksi.
Peringatan.
Log peristiwa dan telemetri lainnya.

Taktik khusus itu tampaknya dipinjam dari alat red-teaming bernama EDRSilencer.

Setelah terinstal, MostereRAT memungkinkan penyerang untuk mencatat ketukan tombol, menyaring data sensitif, membuat akun administrator tersembunyi, dan menggunakan AnyDesk atau TightVNC untuk akses jangka panjang.

Operasi MostereRAT juga menyoroti pentingnya memblokir alat akses jarak jauh yang tidak disetujui, yang sering digunakan oleh aktor ancaman untuk mendapatkan akses dan mempertahankan persistensi.

Karena alat-alat ini sah dan ditandatangani oleh vendor tepercaya, alat-alat tersebut kemungkinan besar tidak akan terdeteksi sebagai berbahaya oleh solusi EDR.

Baca artikel lainnya: