Cloud Atlas Gunakan Malware VBCloud untuk Targetkan Rusia

Pada tahun 2024, dunia siber kembali diguncang dengan kemunculan ancaman baru dari kelompok peretas terkenal, Cloud Atlas. Kelompok ini, yang juga dikenal dengan nama seperti Clean Ursa, Inception, Oxygen, dan Red October, telah mengembangkan malware baru bernama VBCloud untuk melancarkan serangan mereka. Kampanye serangan ini telah menargetkan "beberapa lusin pengguna," dengan lebih dari 80% korban berada di Rusia, sementara sisanya tersebar di Belarus, Kanada, Moldova, Israel, Kirgistan, Turki, dan Vietnam.

Awal Mula Infeksi: Serangan Phishing yang Canggih

Serangan dimulai dengan email phishing yang tampak tidak mencurigakan. Email ini berisi dokumen Microsoft Office berbahaya yang dirancang untuk mengeksploitasi kerentanan di formula editor (CVE-2018-0802). Ketika dokumen ini dibuka, ia mengunduh template dalam format file RTF dari server jarak jauh dan menjalankan file aplikasi HTML (HTA) yang berbahaya.

File HTA ini menggunakan fitur alternate data streams (NTFS ADS) untuk membuat dan mengekstrak file di direktori khusus Windows. File-file ini menjadi bagian dari malware VBShower, yang kemudian membuka jalan bagi pemasangan VBCloud dan malware lain seperti PowerShower.

Kemampuan Malware VBShower dan VBCloud

VBShower adalah backdoor canggih yang mampu mengunduh payload tambahan dari server command-and-control (C2). Malware ini dirancang untuk mengumpulkan informasi penting, seperti:

• Daftar file di folder tertentu.
• Nama proses yang sedang berjalan.
• Tugas yang dijadwalkan dalam sistem.

Selain itu, VBShower juga digunakan untuk menginstal PowerShower dan VBCloud. PowerShower adalah versi lanjutan dari VBShower yang mampu menjalankan skrip PowerShell tahap berikutnya dan mengunduh arsip ZIP dari server C2.

Di sisi lain, VBCloud memiliki fungsi yang hampir sama dengan VBShower, tetapi memanfaatkan layanan penyimpanan public cloud untuk berkomunikasi dengan server C2. Malware ini diaktifkan setiap kali pengguna masuk ke sistem.

Kemampuan VBCloud meliputi:

1. Mengumpulkan informasi tentang disk, seperti tipe media, ukuran, dan ruang kosong.
2. Mengakses metadata sistem.
3. Mencuri file dengan format tertentu, termasuk DOC, DOCX, XLS, XLSX, PDF, TXT, RTF, dan RAR.
4. Mengambil file terkait aplikasi pesan Telegram.

Serangan yang Disusun dengan Matang

Kelompok Cloud Atlas telah dikenal sejak 2014 sebagai salah satu ancaman dunia maya yang paling terorganisir. Pada akhir 2022, mereka terhubung dengan serangan siber yang menargetkan Rusia, Belarus, dan Transnistria. Serangan tersebut menggunakan backdoor berbasis PowerShell bernama PowerShower, yang telah dirancang untuk mengeksekusi skrip PowerShell tingkat lanjut dan mendukung pencurian data.

Kemudian, pada akhir 2023, kelompok ini menggunakan kerentanan lama Microsoft Office (CVE-2017-11882) dalam serangan spear-phishing mereka. Dengan memanfaatkan celah ini, mereka berhasil menginfeksi korban menggunakan Visual Basic Script (VBS) untuk mengeksekusi malware tingkat lanjut, termasuk VBShower dan PowerShower.

Strategi Penyamaran yang Rumit

Salah satu keunggulan serangan ini adalah kemampuan malware untuk menyembunyikan jejaknya. Setelah berhasil mengeksekusi file berbahaya, VBShower memiliki skrip pembersih yang secara otomatis menghapus semua file di folder tertentu, termasuk folder Temporary Internet Files. Hal ini membuat aktivitas berbahaya sulit dilacak oleh korban atau tim keamanan siber.

Tujuan Utama: Pencurian Data

Kaspersky, dalam laporannya, menyatakan bahwa tujuan akhir dari rantai serangan ini adalah mencuri data dari perangkat korban. PowerShower dan VBCloud bekerja sama untuk:

1. Memindai jaringan lokal dan mengidentifikasi celah keamanan yang dapat dimanfaatkan untuk infiltrasi lebih lanjut.
2. Mengumpulkan informasi sensitif tentang sistem dan dokumen penting.
3. Mencuri kredensial Active Directory melalui serangan Kerberoasting.

Ancaman yang Harus Diwaspadai

Cloud Atlas telah menunjukkan bahwa ancaman siber terus berkembang dengan tingkat kecanggihan yang semakin tinggi. Malware seperti VBCloud dan VBShower menjadi bukti bahwa kelompok peretas semakin kreatif dalam memanfaatkan kerentanan lama untuk melancarkan serangan yang merugikan.

Untuk melindungi diri dari ancaman seperti ini, pengguna dan organisasi harus:

1. Menghindari Membuka Lampiran Mencurigakan: Jangan pernah membuka dokumen dari pengirim yang tidak dikenal, terutama jika dokumen tersebut meminta izin tambahan atau terlihat mencurigakan.
2. Memperbarui Perangkat Lunak: Pastikan perangkat lunak dan aplikasi, terutama Microsoft Office, selalu diperbarui untuk mengurangi risiko eksploitasi kerentanan lama.
3. Menggunakan Solusi Keamanan yang Andal: Solusi seperti antivirus dan deteksi ancaman berbasis AI dapat membantu mengidentifikasi dan memblokir serangan phishing sebelum mencapai target.

Dengan memahami pola serangan dan menerapkan langkah-langkah pencegahan yang tepat, kita dapat meminimalkan risiko menjadi korban serangan seperti yang dilakukan oleh Cloud Atlas.