Kampanye yang dioperasikan oleh aktor ancaman Rusia menggunakan tawaran pekerjaan palsu untuk menargetkan orang Eropa Timur yang bekerja di industri cryptocurrency, yang bertujuan untuk menginfeksi mereka dengan versi modifikasi dari malware Stealerium bernama ‘Enigma.’
Berdasarkan Mikro Trenyang telah melacak aktivitas jahat, pelaku ancaman menggunakan serangkaian pemuat yang sangat disamarkan yang mengeksploitasi cacat driver Intel lama untuk mengurangi integritas token Microsoft Defender dan melewati perlindungan.
Menargetkan korban
Serangan dimulai dengan email yang berpura-pura menjadi tawaran pekerjaan dengan wawancara cryptocurrency palsu untuk memikat target mereka. Email tersebut memiliki lampiran arsip RAR yang berisi TXT (“pertanyaan wawancara.txt”) dan yang dapat dieksekusi (“kondisi wawancara.kata.exe”).
File teks berisi pertanyaan wawancara yang ditulis dalam Cyrillic, yang mengikuti format standar dan dibuat seolah-olah sah.
Jika korban ditipu untuk meluncurkan executable, rangkaian muatan dieksekusi yang akhirnya mengunduh malware pencuri informasi Enigma dari Telegram.
Pengunduh tahap pertama adalah alat C++ yang menggunakan teknik seperti pencirian API, enkripsi string, dan kode yang tidak relevan untuk menghindari deteksi saat mengunduh dan meluncurkan muatan tahap kedua, “UpdateTask.dll.”
Payload tahap kedua, juga ditulis dalam C++, menggunakan teknik “Bring Your Own Rentan Driver” (BYOVD) untuk mengeksploitasi kerentanan CVE-2015-2291 Intel. Cacat driver Intel ini memungkinkan perintah dijalankan dengan hak istimewa Kernel.
Pelaku ancaman menyalahgunakan kerentanan ini untuk menonaktifkan Pertahanan Microsoft sebelum malware mengunduh muatan ketiga.
Tahap ketiga mengunduh muatan terakhir, Enigma Stealer, dari saluran Telegram pribadi, yang menurut Trend Micro adalah versi Stealerium yang dimodifikasi, malware pencuri informasi sumber terbuka.
Enigma menargetkan informasi sistem, token, dan kata sandi yang disimpan di browser web seperti Google Chrome, Microsoft Edge, Opera, dan lainnya. Selain itu, ini menargetkan data yang disimpan di Microsoft Outlook, Telegram, Signal, OpenVPN, dan aplikasi lainnya.
Enigma juga dapat menangkap tangkapan layar dari sistem yang disusupi dan mengekstrak konten clipboard atau konfigurasi VPN.
Terakhir, semua data yang dicuri dikompresi dalam arsip ZIP (“Data.zip”) dan dikirim kembali ke pelaku ancaman melalui Telegram.
Beberapa string Enigma, seperti jalur browser web dan URL layanan API Geolokasi, dienkripsi dengan algoritme AES dalam mode cipher-block chaining (CBC), cenderung menyembunyikan data dan mencegah akses tidak sah atau perusakan.
Atribusi
Trend Micro belum menetapkan atribusi dengan keyakinan yang kuat, tetapi menemukan beberapa elemen yang mungkin mengindikasikan pelaku ancaman Rusia berada di balik serangan tersebut.
Petunjuk pertama adalah bahwa salah satu server logging yang digunakan dalam kampanye ini untuk melacak aliran eksekusi infeksi aktif menghosting panel Amadey C2, yang cukup populer di forum kejahatan dunia maya Rusia.
Kedua, server menjalankan “Deniska”, sistem Linux tujuan khusus yang hanya dirujuk di forum berbahasa Rusia.
Terakhir, zona waktu default server diatur ke Moskow, indikator lain bahwa pelaku ancaman adalah orang Rusia.
Itu lebih umum untuk dilihat Aktor ancaman Korea Utara mengoperasikan kampanye yang mempromosikan tawaran pekerjaan palsu yang menargetkan orang yang bekerja di industri fintech. Jadi, melihat orang Rusia mengadopsi tema ini merupakan perkembangan yang menarik.
