Dalam apa yang tampaknya menjadi yang pertama di dunia, peretas telah menggunakan penetes malware khusus untuk menanam malware tanpa file di log peristiwa Windows untuk Layanan Manajemen Kunci (KMS).
Peneliti keamanan siber dari Kaspersky pertama kali melihat teknik baru tersebut setelah diberitahu oleh pelanggan dengan endpoint yang terinfeksi (terbuka di tab baru). Seluruh kampanye, kata para peneliti, “sangat bertarget”, dan menggunakan seperangkat alat yang besar, beberapa di antaranya dibuat khusus, dan beberapa di antaranya bersifat komersial.
Menurut Denis Legezo dari Kaspersky, ini adalah pertama kalinya teknik ini terlihat di alam liar. Seperti yang dia jelaskan, malware (terbuka di tab baru) dropper menyalin WerFault.exe, file penanganan kesalahan nyata OS, ke folder C:\Windows\Tasks, lalu menambahkan sumber daya biner terenkripsi ke Wer.dll (singkatan dari Windows Error Reporting) ke lokasi yang sama. Dengan begitu, melalui pembajakan perintah pencarian DLL, kode berbahaya dapat dimuat ke dalam sistem.
Istirahat Diam
Tujuan loader, kata Legezo, adalah mencari baris tertentu di log peristiwa. Jika tidak menemukannya, ia akan menulis potongan-potongan kode shell terenkripsi, yang nantinya akan membentuk malware untuk tahap serangan selanjutnya.
Dengan kata lain, wer.dll berfungsi sebagai pemuat, dan tanpa kode shell di log peristiwa Windows, tidak akan banyak merugikan.
Seluruh teknik, dan cara melakukannya, “mengesankan”, kata Legezo kepada publikasi. “Aktor di balik kampanye itu sendiri agak terampil, atau setidaknya memiliki seperangkat alat komersial yang cukup mendalam,” katanya, mengisyaratkan penyerang APT.
Siapa aktor ancamannya, bisa ditebak siapa pun saat ini. Menurut para peneliti, kampanye dimulai pada September 2021, dan mengingat kampanye tersebut tidak memiliki kesamaan dengan serangan sebelumnya yang tercatat, kemungkinan kami sedang melihat pemain yang benar-benar baru.
Untuk saat ini, para peneliti menjuluki penyerang SilentBreak.
Melalui: BleepingComputer (terbuka di tab baru)