Penyebaran Ransomware Matanbuchus Melalui Microsoft Teams
Sebuah perusahaan keamanan siber, Mophisec, menemukan kampanye serangan siber yang menggunakan layanan panggilan Microsoft Teams untuk menyebarkan ransomware bernama Matanbuchus. Serangan ini dilakukan oleh para peretas yang berpura-pura sebagai tim bantuan TI resmi. Versi terbaru dari Matanbuchus memiliki kemampuan penghindaran, pengaburan, dan tindakan pasca-kompromi yang lebih canggih dibandingkan sebelumnya.
Dalam beberapa tahun terakhir, aplikasi panggilan Microsoft telah disalahgunakan untuk mengakses organisasi. Peretas menggunakan teknik rekayasa sosial, seperti menyusup ke dalam obrolan dan menipu pengguna komputer, untuk mengirimkan malware tahap awal. Menurut laporan yang diterbitkan, versi 3.0 dari ransomware Matanbuchus menunjukkan preferensi terhadap Microsoft Teams sebagai akses awal.
Peretas yang menyamar sebagai meja bantuan TI yang sah memulai panggilan melalui Microsoft Teams dan meyakinkan korban untuk membuka alat dukungan jarak jauh bawaan Windows, yaitu Quick Assist. Dengan demikian, peretas dapat mendapatkan akses jarak jauh interaktif. Selanjutnya, mereka menginstruksikan pengguna untuk menjalankan skrip PowerShell. Skrip tersebut akan mengunduh dan mengekstrak arsip ZIP yang berisi tiga file yang digunakan untuk meluncurkan launcher Matanbuchus pada perangkat melalui pemuatan samping DLL.
Ransomware ini saat ini dijual dengan harga US$10.000 atau sekitar Rp163 juta untuk varian HTTP, dan US$15.000 atau sekitar Rp244,5 juta (dengan kurs Rp16.000). Sebelum dirilis ke publik, penyadapan terjadi, yang menunjukkan bahwa penyerang mendistribusikan pemuat HTTP dalam lingkaran terpercaya atau memanfaatkannya dalam operasi mereka sendiri.
Metode Serangan yang Mengkhawatirkan
Metode serangan semacam ini menunjukkan pergeseran yang mengkhawatirkan ke arah pemanfaatan platform komunikasi bisnis yang sah untuk tujuan jahat. Hal ini menunjukkan bahwa para peretas semakin kreatif dalam mencari cara untuk mengakses sistem korban.
Fitur Baru pada Matanbuchus 3.0
Matanbuchus 3.0 memperkenalkan beberapa fitur baru serta penyempurnaan signifikan. Pengembangnya mengganti komunikasi perintah-dan-kontrol (C2) dan pengaburan string dari RC4 ke Salsa20. Pemuatannya diluncurkan dalam memori, bersamaan dengan itu juga ada rutinitas verifikasi anti-sandbox baru untuk memastikan bahwa malware hanya berjalan pada locale yang ditentukan.
Panggilan API lebih dikaburkan menggunakan fungsi hash non-kriptografi ‘MurmurHash3’, yang membuat rekayasa balik dan analisis statis lebih sulit. Untuk dampak pasca-infeksi, Matanbuchus 3.0 dapat mengeksekusi perintah CMD, PowerShell, atau juga muatan EXE, DLL, MSI, dan Shellcode.
Setelah infeksi, malware ini akan mengumpulkan rincian penting, seperti nama pengguna, domain, informasi versi OS, proses EDR/AV yang sedang berjalan, dan status peningkatan prosesnya (Admin atau pengguna biasa). Malware tersebut memeriksa proses yang sedang berjalan pada perangkat korban, untuk mengidentifikasi alat keamanan pada sistem, lalu mencatat bahwa metode eksekusi yang dikirim kembali dari C2 mungkin ‘bergantung pada tumpukan keamanan korban saat ini’.
Ancaman yang Semakin Canggih
Para peneliti mengatakan bahwa Matanbuchus sudah berkembang menjadi ancaman yang sangat canggih. Untuk itu, mereka menyediakan indikator kompromi yang mencakup sampel malware dan domain yang digunakan oleh ransomware tersebut. Hal ini menjadi peringatan bagi organisasi dan pengguna untuk meningkatkan langkah-langkah keamanan mereka, terutama dalam menghadapi ancaman yang menggunakan platform komunikasi bisnis yang sah.
