Penjahat dunia maya memangsa pencari kerja di Amerika Serikat dan Selandia Baru untuk mendistribusikan beacon Cobalt Strike, tetapi juga virus dan malware lainnya (terbuka di tab baru)demikian juga.
Peneliti dari Cisco Talos mengklaim aktor ancaman yang tidak dikenal mengirimkan beberapa umpan phishing melalui email, dengan asumsi identitasnya (terbuka di tab baru) Kantor Manajemen Personalia (OPM) AS, serta Asosiasi Layanan Publik Selandia Baru (PSA).
Email tersebut mengundang korban untuk mengunduh dan menjalankan dokumen Word terlampir, mengklaim bahwa ia menyimpan lebih banyak detail tentang peluang kerja.
Eksekusi kode jarak jauh
Dokumen tersebut berisi makro yang, jika dijalankan, mengeksploitasi kerentanan yang dikenal yang dilacak sebagai CVE-2017-0199, cacat eksekusi kode jarak jauh yang diperbaiki pada April 2017. Menjalankan makro menghasilkan Word mengunduh templat dokumen dari repositori Bitbucket. Template kemudian menjalankan serangkaian skrip Visual Basic yang, akibatnya, mengunduh file DLL yang disebut “newmodeler.dll”. DLL itu sebenarnya adalah suar Cobalt Strike.
Ada juga metode distribusi lain yang tidak terlalu rumit, di mana pengunduh malware diambil langsung dari Bitbucket.
Dengan bantuan suar Cobalt Strike, pelaku ancaman dapat mengeksekusi berbagai perintah dari jarak jauh pada titik akhir yang disusupi, mencuri data, dan bergerak secara lateral di seluruh jaringan, memetakannya, dan menemukan data yang lebih sensitif.
Para peneliti mengklaim suar berkomunikasi dengan server Ubuntu, yang diselenggarakan oleh Alibaba, dan berbasis di Belanda. Ini berisi dua sertifikat SSL yang ditandatangani sendiri dan valid.
Cisco tidak menyebutkan nama aktor ancaman di balik kampanye ini, tetapi ada satu nama terkemuka yang terlibat dalam banyak kampanye pekerjaan palsu akhir-akhir ini, dan itu adalah Lazarus Group.
Aktor ancaman yang disponsori negara Korea Utara yang terkenal telah menargetkan pengembang blockchain, seniman yang mengerjakan token yang tidak dapat dipertukarkan (NFT), serta pakar kedirgantaraan dan jurnalis politik dengan pekerjaan palsu, mencuri cryptocurrency dan informasi berharga.
Melalui: BleepingComputer (terbuka di tab baru)