Pemburu ancaman meminta perhatian pada kampanye phishing baru yang sangat bertarget yang memilih entitas “kurang dari lima” di Uni Emirat Arab (UEA) untuk memberikan pintu belakang Golang yang sebelumnya tidak berdokumen dijuluki Sosano.
Kegiatan jahat secara khusus diarahkan terhadap organisasi komunikasi penerbangan dan satelit, menurut Proofpoint, yang mendeteksinya pada akhir Oktober 2024. Perusahaan keamanan perusahaan melacak kluster yang muncul di bawah moniker UNK_CRAFTYCAMEL.
Aspek penting dari rantai serangan adalah fakta bahwa musuh mengambil keuntungan dari aksesnya ke akun email yang dikompromikan milik perusahaan elektronik India Indic Electronics untuk mengirim pesan phishing. Entitas ini dikatakan telah berada dalam hubungan bisnis tepercaya dengan semua target, dengan umpan yang disesuaikan untuk masing -masing.
“UNK_CRAFTYCAMEL memanfaatkan perusahaan elektronik India yang dikompromikan untuk menargetkan kurang dari lima organisasi di Uni Emirat Arab dengan file zip jahat yang memanfaatkan beberapa file poliglot untuk akhirnya memasang backdoor yang dijuluki Sosano,” kata Proofpoint dalam sebuah laporan yang dibagikan dengan berita peretas.
Email berisi URL yang menunjuk ke domain palsu yang menyamar sebagai perusahaan India (“indicelectronics[.]net “), hosting arsip ZIP yang menyertakan file XLS dan dua file PDF.
Namun pada kenyataannya, file XLS adalah jalan pintas Windows (LNK) menggunakan ekstensi ganda untuk dilewatkan sebagai dokumen Microsoft Excel. Dua file PDF, di sisi lain, ternyata adalah poliglot: satu yang ditambahkan dengan file aplikasi HTML (HTA) dan yang lainnya dengan arsip zip ditambahkan ke dalamnya.
Ini juga berarti bahwa kedua file PDF dapat diartikan sebagai dua format valid yang berbeda tergantung pada bagaimana mereka diuraikan menggunakan program seperti penjelajah file, alat baris perintah, dan browser.
Urutan serangan yang dianalisis dengan Proofpoint memerlukan menggunakan file LNK untuk meluncurkan cmd.exe dan kemudian menggunakan mshta.exe untuk menjalankan file polyglot PDF/HTA, yang mengarah ke pelaksanaan skrip HTA yang, pada gilirannya, berisi instruksi untuk membongkar konten arsip ZIP yang ada dalam PDF kedua.
Salah satu file dalam PDF kedua adalah file shortcut internet (URL) yang bertanggung jawab untuk memuat biner, yang kemudian mencari file gambar yang pada akhirnya xored dengan string “234567890AbcDef” untuk memecahkan kode dan menjalankan DLL Backdoor yang disebut Sosano.
Ditulis dalam Golang, implan membawa fungsionalitas terbatas untuk membuat kontak dengan server perintah-dan-kontrol (C2) dan menunggu perintah lebih lanjut-
- Sosanountuk mendapatkan direktori saat ini atau mengubah direktori kerja
- Yangomuntuk menyebutkan konten direktori saat ini
- Seninuntuk mengunduh dan meluncurkan muatan tahap berikutnya yang tidak diketahui
- Raianuntuk menghapus atau menghapus direktori
- Lunnauntuk mengeksekusi perintah shell
Proofpoint mencatat bahwa Tradecraft yang ditunjukkan oleh UNK_CRAFTYCAMEL tidak tumpang tindih dengan aktor atau kelompok ancaman lainnya yang diketahui.
“Analisis kami menunjukkan bahwa kampanye ini kemungkinan merupakan pekerjaan musuh yang selaras dengan Iran, yang mungkin berafiliasi dengan Korps Penjaga Revolusi Islam (IRGC),” Joshua Miller, peneliti ancaman staf yang tepat di Proofpoint, mengatakan kepada Hacker News. “Sektor yang ditargetkan sangat penting untuk stabilitas ekonomi dan keamanan nasional, menjadikannya target intelijen yang berharga dalam lanskap geopolitik yang lebih luas.”
“Kampanye phishing volume yang rendah, sangat bertarget ini memanfaatkan beberapa teknik pengayaan bersama dengan kompromi pihak ketiga yang tepercaya untuk menargetkan penerbangan, komunikasi satelit, dan infrastruktur transportasi kritis di UEA itu menunjukkan panjang yang akan dilakukan oleh para aktor yang diselaraskan oleh negara bagian dan memenuhi pengumpulan kecerdasan mereka dengan sukses.”
