Serangan Siber MontysThree Ancam Pelaku Bisnis dan Industri

Untuk melakukan spionase, MontysThree menggunakan program malware yang terdiri dari empat modul.

Modul pertama adalah pemuat (loader) yang awalnya disebarkan menggunakan file RAR SFX (arsip yang diekstrak sendiri).

Biasanya, file ini berisikan nama yang terkait dengan daftar kontak karyawan, dokumentasi teknis, dan hasil analisis medis untuk mengelabui karyawan agar mengunduh file — semacam teknik spear phishing pada umumnya.

Pemuat memiliki tugas utama memastikan malware tidak terdeteksi di sistem; untuk melakukan ini, ia menerapkan teknik yang dikenal sebagai steganografi.

Steganografi digunakan oleh aktor ancaman untuk menyembunyikan fakta bahwa data sedang dipertukarkan.

Dalam kasus MontysThree, muatan berbahaya utama disamarkan sebagai file bitmap (format untuk menyimpan gambar digital).

Jika perintah benar dimasukkan, loader akan menggunakan algoritme yang dibuat khusus untuk mendekripsi konten dari larik piksel dan menjalankan muatan berbahaya.

Muatan berbahaya utama menggunakan teknik enkripsi algoritma RSA untuk mengenkripsi komunikasi dengan server kontrol dan mendekripsi "tugas" penting dari malware.

Informasi yang dikumpulkan dan komunikasi lainnya dengan server kontrol kemudian dihosting di layanan cloud publik seperti Google, Microsoft, dan Dropbox.

Hal ini membuat lalu lintas komunikasi sulit untuk dideteksi karena berbahaya, dan karena tidak ada antivirus yang memblokir layanan ini, maka dipastikan server kontrol dapat menjalankan perintah tanpa gangguan.

(Ysl/Why)