Liputan6.com, Jakarta - Serangan malware yang didistribusikan melalui USB drive mengalami peningkatan tiga kali lipat pada paruh pertama 2023.
Sebuah laporan baru dari perusahaan keamanan siber Mandiant menguraikan bagaimana dua serangan malware yang dikirimkan melalui USB. Pertama, serangan bernama 'Sogu' dikaitkan dengan kelompok spionase asal China 'TEMP.HEX.
Advertisement
Lalu kedua, sebagaimana dikutip dari Bleeping Computer, Jumat (14/7/2023), bernama 'Snowydrive' dikaitkan dengan kelompok hacker UNC4698, yang menargetkan perusahaan minyak dan gas di Asia.
Sebelumnya, pada November 2022, perusahaan keamanan siber menyoroti serangan China-nexus yang memanfaatkan perangkat USB untuk menginfeksi entitas di Filipina dengan empat kelompok malware berbeda.
Selain itu, pada Januari 2023, tim Unit 42 dari Palo Alto Network menemukan varian PlugX yang dapat bersembunyi di USB drive dan menginfeksi host Windows yang terhubung dengannya.
Serangan Sogu
Mandiant melaporkan bahwa Sogu saat ini merupakan kelompok spionase dunia maya paling agresif yang memanfaatkan USB, menargetkan banyak industri di seluruh dunia dan berusaha mencuri data dari komputer yang terinfeksi.
Korban malware Sogu berlokasi di Amerika Serikat, Prancis, Inggris, Italia, Polandia, Austria, Australia, Swiss, China, Jepang, Ukraina, Singapura, Indonesia, dan Filipina.
Sebagian besar korban berasal dari sektor farmasi, TI, energi, komunikasi, kesehatan, dan logistik.
Payload, yang disebut 'Korplug,' memuat kode shell C (Sogu) ke dalam memori melalui pembajakan pesanan DLL, yang mengharuskan korban untuk mengeksekusi file yang sah.
Pengingtaian Sistem
Sogu membuat Runkey registri dan menggunakan Windows Task Scheduler untuk memastikannya berjalan secara teratur.
Selanjutnya, malware memasukkan file batch ke 'RECYCLE.BIN' yang membantu pengintaian sistem, memindai mesin yang terinfeksi untuk dokumen MS Office, PDF, dan file teks lain yang mungkin berisi data berharga.
File yang ditemukan oleh Sogu disalin ke dua direktori, satu di drive C:\ host dan satu di direktori kerja di flash drive, lalu dienkripsi menggunakan base64.
File dokumen kemudian diekstraksi ke server C2 melalui TCP atau UDP, menggunakan permintaan HTTP atau HTTPS.
Advertisement
Serangan Snowydrive
Snowydrive adalah serangan yang menginfeksi komputer melalui backdoor yang memungkinkan penyerang mengeksekusi secara brutal melalui command prompt Windows, memodifikasi registri, serta menjalankan file dan direktori.
Dalam kasus ini juga korban ditipu untuk membuka executable yang tampak sah pada drive USB, sehingga memicu ekstraksi dan eksekusi komponen malware yang terletak di folder 'Kaspersky'.
Komponen melakukan peran khusus seperti menetapkan serangan pada sistem yang berhasil ditembus, menghindari deteksi, melewati backdoor, dan memastikan penyebaran malware melalui USB drive yang baru terhubung.
Snowydrive adalah backdoor berbasis shellcode yang dimuat ke dalam proses 'CUZ.exe,' yang merupakan perangkat lunak unzip arsip yang sah.
Backdoor mendukung banyak perintah yang memungkinkan operasi file, eksfiltrasi data, reverse shell, eksekusi perintah, dan pengintaian.
Serangan Berbasis USB Terus Berlanjut
Sementara serangan USB memerlukan akses fisik ke komputer target untuk mencapai infeksi, mereka memiliki keunggulan unik yang membuatnya tetap relevan dan menjadi tren di tahun 2023, seperti laporan Mandiant.
Keuntungannya termasuk melewati mekanisme keamanan, sembunyi-sembunyi, akses awal ke jaringan perusahaan, dan kemampuan untuk menginfeksi sistem celah udara yang diisolasi dari jaringan yang tidak aman untuk alasan keamanan.
Investigasi Mandiant menunjuk ke percetakan dan hotel sebagai hotspot infeksi malware USB.
Namun, mengingat penyebaran backdoor yang acak dan oportunistik ini, sistem apa pun dengan port USB dapat menjadi target.
Advertisement
