Serangan ransomware Trigona yang baru-baru ini diamati menggunakan alat baris perintah khusus untuk mencuri data dari lingkungan yang disusupi dengan lebih cepat dan efisien.
Utilitas ini digunakan dalam serangan pada bulan Maret yang dikaitkan dengan afiliasi geng, kemungkinan besar dalam upaya menghindari alat yang tersedia untuk umum, seperti Rclone dan MegaSync, yang biasanya memicu solusi keamanan.
Para peneliti di perusahaan keamanan siber Symantec percaya bahwa peralihan ke alat khusus mungkin menunjukkan bahwa penyerang “menginvestasikan waktu dan upaya pada malware berpemilik dalam upaya untuk mempertahankan profil yang lebih rendah selama fase kritis serangan mereka.”
Dalam laporannya hari ini, para peneliti mengatakan bahwa alat tersebut diberi nama “uploader_client.exe” dan terhubung ke alamat server yang dikodekan secara hardcode. Kemampuan kinerja dan penghindarannya meliputi:
- Dukungan untuk lima koneksi simultan per file untuk eksfiltrasi data yang lebih cepat melalui unggahan paralel.
- Rotasi koneksi TCP setelah lalu lintas 2GB untuk menghindari pemantauan.
- Opsi untuk eksfiltrasi jenis file selektif, tidak termasuk file media berukuran besar dan bernilai rendah.
- Penggunaan kunci otentikasi untuk membatasi akses ke data yang dicuri oleh pihak luar.
Dalam satu insiden, alat eksfiltrasi digunakan untuk mencuri dokumen bernilai tinggi seperti faktur dan PDF di drive jaringan.
Trigona ransomware apa diluncurkan pada Oktober 2022 sebagai operasi pemerasan ganda yang menuntut korbannya membayar uang tebusan dalam mata uang kripto Monero.
Meskipun aktivis dunia maya Ukraina mengganggu operasi Trigona pada bulan Oktober 2023, setelah meretas servernya dan mencuri data internal seperti kode sumber dan catatan basis data, laporan Symantec menunjukkan bahwa pelaku ancaman kembali beroperasi.
Menurut pengamatan Symantec terhadap serangan Trigona baru-baru ini, pelaku ancaman menginstal alat Huorong Network Security Suite HRSword sebagai layanan driver kernel.
Fase ini diikuti dengan penerapan alat tambahan yang dapat menonaktifkan produk terkait keamanan (misalnya PCHunter, Gmer, YDark, WKTools, DumpGuard, dan StpProcessMonitorByovd).
“Banyak dari driver kernel yang rentan ini untuk menghentikan proses perlindungan titik akhir,” kata Symantec.
Beberapa utilitas dijalankan dengan PowerRun, produk yang dapat meluncurkan aplikasi, executable, dan skrip dengan hak istimewa yang lebih tinggi, sehingga melewati perlindungan mode pengguna.
AnyDesk digunakan untuk akses jarak jauh langsung pada sistem yang dibobol, sementara utilitas Mimikatz dan Nirsoft dijalankan untuk pencurian kredensial dan operasi pemulihan kata sandi.
Symantec telah mencantumkan indikator kompromi (IoC) yang terkait dengan aktivitas Trigona terbaru di bagian bawah laporannya untuk membantu mendeteksi dan memblokir serangan ini secara tepat waktu.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
