Penemuan Serangan Siber Menggunakan Microsoft Teams
JAKARTA — Mophisec, sebuah perusahaan keamanan siber, telah mengungkap kampanye serangan siber yang menggunakan layanan panggilan Microsoft Teams untuk menyebarkan ransomware bernama Matanbuchus. Serangan ini menunjukkan bagaimana para peretas semakin kreatif dalam memanfaatkan platform komunikasi bisnis yang sah untuk tujuan jahat.
Matanbuchus adalah ransomware yang dikembangkan dengan kemampuan penghindaran, pengaburan, dan pasca-kompromi yang lebih canggih dibanding versi sebelumnya. Dalam beberapa tahun terakhir, aplikasi seperti Microsoft Teams sering kali disalahgunakan oleh peretas untuk mengakses sistem organisasi. Mereka menggunakan teknik rekayasa sosial, yaitu dengan menyusup ke obrolan dan menipu pengguna agar membuka file atau alat yang berisi malware.
Penggunaan Microsoft Teams dalam Serangan
Versi terbaru dari Matanbuchus, yaitu 3.0, menunjukkan preferensi terhadap Microsoft Teams sebagai akses awal. Peretas yang menyamar sebagai meja bantuan TI resmi melakukan panggilan melalui platform tersebut dan meyakinkan korban untuk menjalankan alat dukungan jarak jauh bawaan Windows, Quick Assist. Dengan demikian, mereka bisa mendapatkan akses interaktif ke perangkat korban.
Setelah berhasil masuk, peretas memberikan instruksi kepada pengguna untuk menjalankan skrip PowerShell. Skrip ini bertugas mengunduh dan mengekstrak arsip ZIP yang berisi tiga file. File-file tersebut digunakan untuk meluncurkan launcher Matanbuchus pada perangkat korban melalui pemuatan samping DLL.
Harga dan Distribusi Ransomware
Saat ini, varian HTTP dari Matanbuchus ditawarkan dengan harga US$10.000 atau sekitar Rp163 juta. Sementara itu, varian lainnya dengan fitur tambahan dijual seharga US$15.000 atau sekitar Rp244,5 juta (berdasarkan kurs Rp16.000). Informasi ini didapat dari laporan cybersecuritynews.com yang menyebutkan bahwa penyadapan terjadi sebelum malware dirilis ke publik, yang menunjukkan bahwa penyerang mendistribusikan pemuat HTTP dalam lingkaran terpercaya atau menggunakannya dalam operasi mereka sendiri.
Pergeseran dalam Metode Serangan
Metode serangan seperti ini menunjukkan pergeseran yang mengkhawatirkan dalam dunia siber. Para peretas kini lebih fokus pada penggunaan platform komunikasi bisnis yang sah untuk mencapai tujuan jahat mereka. Hal ini meningkatkan risiko bagi perusahaan yang mengandalkan layanan seperti Microsoft Teams untuk komunikasi internal dan eksternal.
Fitur Baru pada Matanbuchus 3.0
Matanbuchus 3.0 memiliki beberapa fitur baru yang membuatnya lebih sulit untuk dianalisis. Salah satunya adalah perubahan komunikasi perintah-dan-kontrol (C2) serta pengaburan string dari RC4 ke Salsa20. Proses pemuatan juga dilakukan dalam memori, sehingga sulit untuk dideteksi oleh alat keamanan.
Selain itu, ada juga rutinitas verifikasi anti-sandbox baru yang memastikan malware hanya berjalan pada locale yang ditentukan. Panggilan API lebih dikaburkan menggunakan fungsi hash non-kriptografi ‘MurmurHash3’, yang membuat rekayasa balik dan analisis statis lebih sulit dilakukan.
Dampak Pasca-Infeksi
Setelah infeksi, Matanbuchus 3.0 dapat mengeksekusi berbagai perintah, termasuk CMD, PowerShell, atau muatan EXE, DLL, MSI, dan Shellcode. Selanjutnya, malware ini akan mengumpulkan informasi penting seperti nama pengguna, domain, versi OS, dan status peningkatan proses (Admin atau pengguna biasa).
Malware ini juga memeriksa proses yang sedang berjalan pada perangkat korban untuk mengidentifikasi alat keamanan yang ada. Setelah itu, metode eksekusi yang dikirim kembali dari C2 mungkin bergantung pada tumpukan keamanan korban saat ini.
Kesimpulan
Para peneliti menyatakan bahwa Matanbuchus telah berkembang menjadi ancaman yang sangat canggih. Untuk itu, mereka menyediakan indikator kompromi yang mencakup sampel malware dan domain yang digunakan oleh ransomware tersebut. Dengan adanya peningkatan kemampuan serangan seperti ini, penting bagi perusahaan untuk meningkatkan perlindungan keamanan siber mereka.
