Kampanye malware yang baru ditemukan menargetkan pengguna pribadi, pengecer, dan bisnis jasa yang sebagian besar berlokasi di Rusia untuk mengirimkan NetSupport RAT dan BurnsRAT.
Kampanye tersebut, dijuluki Tanduk & Kuku oleh Kaspersky, telah mencapai lebih dari 1.000 korban sejak dimulai sekitar Maret 2023. Tujuan akhir dari serangan ini adalah untuk memanfaatkan akses yang diberikan oleh trojan ini untuk menginstal malware pencuri seperti Rhadamanthys dan Meduza.
“Beberapa bulan terakhir terjadi lonjakan pengiriman surat dengan lampiran email yang mirip dalam bentuk arsip ZIP yang berisi skrip JScript,” kata peneliti keamanan Artem Ushkov dalam analisisnya pada hari Senin. “File skrip [are] disamarkan sebagai permintaan dan tawaran dari calon pelanggan atau mitra.”
Pelaku ancaman di balik operasi ini telah menunjukkan perkembangan aktif muatan JavaScript mereka, dan membuat perubahan signifikan selama kampanye berlangsung.
Dalam beberapa kasus, arsip ZIP ditemukan berisi dokumen lain yang terkait dengan organisasi atau individu yang ditiru sehingga meningkatkan kemungkinan keberhasilan serangan phishing dan menipu penerima agar membuka file yang berisi malware.
Salah satu sampel paling awal yang diidentifikasi sebagai bagian dari kampanye adalah file Aplikasi HTML (HTA) yang, ketika dijalankan, mengunduh gambar umpan PNG dari server jarak jauh menggunakan utilitas curl untuk Windows, sekaligus secara diam-diam mengambil dan menjalankan skrip lain (” bat_install.bat”) dari server lain menggunakan alat baris perintah BITSAdmin.
Skrip yang baru diunduh kemudian melanjutkan untuk mengambil beberapa file lain menggunakan BITSAdmin, termasuk malware NetSupport RAT, yang menjalin kontak dengan server perintah dan kontrol (C2) yang disiapkan oleh penyerang.
Perulangan kampanye berikutnya yang diamati pada pertengahan Mei 2023 melibatkan JavaScript perantara yang meniru pustaka JavaScript yang sah seperti Next.js untuk mengaktifkan rantai infeksi NetSupport RAT.
Kaspersky mengatakan pihaknya juga menemukan varian lain dari file JavaScript yang menghapus penginstal NSIS yang kemudian bertanggung jawab untuk menyebarkan BurnsRAT pada host yang disusupi.
Meskipun pintu belakang mendukung perintah untuk mengunduh dan menjalankan file dari jarak jauh, serta berbagai metode menjalankan perintah melalui baris perintah Windows, tugas utama komponen ini adalah memulai Sistem Manipulator Jarak Jauh (RMS) sebagai layanan dan mengirimkan RMS ID sesi ke server penyerang,” jelas Ushkov.
“RMS adalah aplikasi yang memungkinkan pengguna berinteraksi dengan sistem jarak jauh melalui jaringan. RMS menyediakan kemampuan untuk mengelola desktop, menjalankan perintah, mentransfer file, dan bertukar data antar perangkat yang terletak di lokasi geografis berbeda.”
Sebagai tanda bahwa pelaku ancaman terus mengubah modus operandinya, dua rangkaian serangan lainnya yang terlihat pada akhir Mei dan Juni 2023 datang dengan file BAT yang dikerjakan ulang sepenuhnya untuk menginstal NetSupport RAT dan memasukkan malware tersebut langsung ke dalam kode JavaScript.
Terdapat indikasi bahwa kampanye tersebut merupakan ulah aktor ancaman yang dikenal sebagai TA569 (alias Gold Prelude, Mustard Tempest, dan Purple Vallhund), yang dikenal mengoperasikan malware SocGholish (alias FakeUpdates). Koneksi ini berasal dari tumpang tindih dalam lisensi NetSupport RAT dan file konfigurasi yang digunakan dalam aktivitas masing-masing.
Perlu disebutkan bahwa TA569 juga dikenal bertindak sebagai broker akses awal untuk serangan ransomware lanjutan seperti WastedLocker.
“Tergantung pada siapa akses ini jatuh, konsekuensinya bagi perusahaan yang menjadi korban dapat berkisar dari pencurian data hingga enkripsi dan kerusakan sistem,” kata Ushkov. “Kami juga mengamati upaya untuk memasang pencuri pada beberapa mesin yang terinfeksi.”
