APT BlueNoroff Bypass Mark-of-the-Web (MOTW)

Saat pengguna mencoba membaca dokumen kantor yang dikirim melalui email atau diunduh dari situs web, Microsoft Office biasanya membukanya dalam mode protected view. Ini dilakukan melalui penggunaan Mark-of-the-Web (MOTW), salah satu teknik perlindungan default Windows. Itu menandai file yang muncul di PC Anda dari internet, sehingga aplikasi mengetahui sumbernya dan mengingatkan pengguna akan potensi bahaya. Namun, jika hanya bergantung pada keefektifan mekanisme peringatan semacam itu mungkin merupakan ide yang buruk, karena banyak peretas baru-baru ini mulai menggunakan teknik untuk mem-bypass MOTW. Misalnya, para peneliti baru-baru ini menemukan teknik baru untuk mengelabui sistem operasi saat meneliti tools grup BlueNoroff (yang dianggap sebagai bagian dari grup Lazarus).

Bagaimana BlueNoroff Mem-bypass Mekanisme MOTW

Mekanisme Mark-of-the-Web berfungsi sebagai berikut: saat pengguna (atau program) mengunduh file dari internet, sistem file NTFS menambahkan atribut "from the internet" ke dalamnya. Namun, atribut ini tidak selalu diperoleh. Saat Anda mengunduh arsip, atribut ini berlaku untuk semua file yang ada di dalamnya. Namun, arsip bukanlah satu-satunya cara untuk mentransfer file secara tidak langsung.

Penyerang BlueNoroff telah mulai bereksperimen dengan berbagai format file untuk mengirimkan dokumen berbahaya. Terkadang, mereka menggunakan format .iso, yang sering digunakan untuk menyimpan optical disc image. Pilihan lainnya adalah file .vhd yang biasanya berisi hard drive virtual. Dengan kata lain, mereka menyembunyikan muatan serangan yang sebenarnya — dokumen palsu dan script berbahaya — di dalam gambar atau virtual drive.

Deskripsi teknis yang lebih rinci tentang tools dan teknik BlueNoroff yang diupdate, serta indikator penyusupan, dapat ditemukan pada postingan blog Securelist.

Siapakah BlueNoroff dan Apa yang Mereka Cari?

Sebelumnya BlueNoroff melakukan upaya pencurian cryptocurrency pada SnatchCrypto. Berdasarkan berbagai indikator, para ahli percaya bahwa ini adalah grup BlueNoroff yang sama. Serangan ini juga sebagian besar dimotivasi oleh keinginan untuk mendapatkan keuntungan finansial. Faktanya, tahap terakhir penyerangan tidak berubah: peretas memasang backdoor pada komputer yang disusupi.

Baca Juga : Apa yang Paling Dicari Cybercriminal?

Grup BlueNoroff telah mendaftarkan beberapa domain yang menyerupai modal ventura dan perusahaan investasi, serta bank besar. Berdasarkan nama bank dan dokumen palsu yang digunakan oleh para penyerang, mereka tampaknya sangat tertarik pada target yang berbahasa Jepang. Namun, setidaknya satu dari korban kelompok itu ditemukan di UEA. BlueNoroff sangat tertarik pada cryptocurrency dan perusahaan keuangan, seperti yang terlihat dari rekam jejaknya.

Bagaimana Cara agar Tetap Aman?

Pertama-tama, ada baiknya untuk mengabaikan anggapan bahwa mekanisme keamanan default yang dibangun di dalam OS sudah cukup untuk menjaga keamanan perusahaan Anda. Mekanisme Mark-of-the-Web tidak dapat mencegah karyawan membuka file yang diunduh dari internet dan menjalankan script berbahaya. Untuk melindungi perusahaan Anda dari BlueNororff dan grup Advanced Persistent Threat (APT) lainnya, para ahli merekomendasikan sebagai berikut:

Baca Juga : Bagaimana Cara Mempersiapkan Diri Sebelum Insiden Peretasan Terjadi

• Menginstal solusi keamanan modern pada semua perangkat yang berfungsi – mereka akan mencegah eksekusi script berbahaya.
• Terus memberi tahu karyawan Anda tentang ancaman dunia maya modern – pelatihan yang dipersiapkan dengan baik dapat membantu mereka menghindari umpan penyerang, seperti social engineering.
• Menggunakan solusi keamanan kelas EDR dan, jika perlu, layanan Managed Detection and Response yang akan memungkinkan deteksi cepat aktivitas berbahaya di jaringan perusahaan dan akan membantu menghentikan serangan sebelum kerusakan signifikan terjadi.