Penemuan Serangan Siber yang Menggunakan Microsoft Teams
Mophisec, sebuah perusahaan keamanan siber, baru-baru ini menemukan kampanye serangan siber yang menggunakan layanan panggilan Microsoft Teams untuk menyebarkan ransomware bernama Matanbuchus. Serangan ini dilakukan oleh para peretas yang berpura-pura sebagai tim bantuan TI resmi. Dalam prosesnya, mereka memanfaatkan rekayasa sosial dengan cara mengakses obrolan dan menipu pengguna komputer agar terjebak dalam serangan.
Versi Terbaru dari Matanbuchus
Versi terbaru dari ransomware Matanbuchus, yaitu versi 3.0, menunjukkan preferensi khusus terhadap Microsoft Teams sebagai akses awal. Para peretas mencoba menghubungi korban melalui panggilan Teams, lalu meyakinkan mereka untuk menjalankan alat dukungan jarak jauh bawaan Windows bernama Quick Assist. Dengan demikian, peretas bisa mendapatkan akses interaktif secara jarak jauh.
Setelah itu, mereka memberi instruksi kepada pengguna untuk menjalankan skrip PowerShell. Skrip tersebut akan mengunduh dan mengekstrak arsip ZIP yang berisi tiga file. Ketiga file ini digunakan untuk meluncurkan launcher Matanbuchus pada perangkat korban melalui pemuatan samping DLL (Dynamic Link Library).
Harga dan Distribusi Ransomware
Ransomware Matanbuchus saat ini dijual dengan harga US$10.000 atau sekitar Rp163 juta untuk varian HTTP, serta US$15.000 atau sekitar Rp244,5 juta untuk varian lainnya. Berdasarkan laporan dari cybersecuritynews.com, penyadapan terjadi sebelum malware dirilis ke publik. Hal ini menunjukkan bahwa penyerang mungkin mendistribusikan pemuat HTTP dalam lingkaran terpercaya atau memanfaatkannya dalam operasi mereka sendiri.
Perubahan Metode Serangan
Metode serangan seperti ini menunjukkan pergeseran yang mengkhawatirkan, di mana platform komunikasi bisnis yang sah digunakan untuk tujuan jahat. Pemanfaatan Microsoft Teams sebagai alat serangan menunjukkan tingkat kecerdasan dan kesadaran teknis dari para peretas.
Fitur Baru pada Matanbuchus 3.0
Matanbuchus 3.0 memiliki beberapa fitur baru dan penyempurnaan. Salah satu perubahan utamanya adalah penggantian komunikasi perintah-dan-kontrol (C2) dan pengaburan string dari RC4 ke Salsa20. Pemuatannya diluncurkan dalam memori, disertai dengan rutinitas verifikasi anti-sandbox baru yang memastikan malware hanya berjalan pada locale yang ditentukan.
Selain itu, panggilan API lebih dikaburkan dengan menggunakan fungsi hash non-kriptografi ‘MurmurHash3’, sehingga membuat rekayasa balik dan analisis statis menjadi lebih sulit. Untuk dampak pasca-infeksi, Matanbuchus 3.0 dapat mengeksekusi perintah CMD, PowerShell, atau juga muatan EXE, DLL, MSI, dan Shellcode.
Pengumpulan Data dan Analisis Keamanan
Setelah infeksi terjadi, malware ini akan mengumpulkan rincian penting, seperti nama pengguna, domain, informasi versi OS, proses EDR/AV yang sedang berjalan, dan status peningkatan prosesnya (Admin atau pengguna biasa). Selanjutnya, malware memeriksa proses yang sedang berjalan pada perangkat korban untuk mengidentifikasi alat keamanan yang ada.
Matanbuchus 3.0 juga mencatat bahwa metode eksekusi yang dikirim kembali dari C2 mungkin ‘bergantung pada tumpukan keamanan korban saat ini’. Ini menunjukkan bahwa malware ini dirancang untuk menyesuaikan diri dengan lingkungan target.
Tindakan Pencegahan dan Indikator Kompromi
Para peneliti menyatakan bahwa Matanbuchus telah berkembang menjadi ancaman yang sangat canggih. Untuk menghadapi hal ini, Mophisec menyediakan indikator kompromi yang mencakup sampel malware dan domain yang digunakan oleh ransomware tersebut. Dengan adanya indikator ini, organisasi dapat meningkatkan perlindungan mereka terhadap ancaman serupa.