Pada akhir 2023 hingga pertengahan 2024, tim kami memantau sebuah kampanye serangan siber yang menargetkan beberapa pelanggan di berbagai lokasi. Meskipun muatan akhirnya selalu berupa Cobalt Strike, kami menemukan pola dan artefak yang menunjukkan bahwa serangan ini kemungkinan besar berasal dari satu aktor ancaman yang sama.
Yang membuatnya menarik adalah bagaimana serangan ini berubah-ubah secara geografis dan teknis. Dari awalnya menargetkan wilayah Asia Timur, mereka kemudian beralih ke Swedia, dan memperlihatkan teknik sideloading yang canggih menggunakan pustaka Minhook untuk memanipulasi API Windows.
Temuan Utama
- Target awal di China dan Taiwan bergeser ke Swedia.
- Penggunaan Minhook.dll (pustaka hooking API ringan untuk Windows).
- Loader bersih tidak disertakan dalam paket, melainkan diambil langsung dari sistem korban.
- Komponen malware ditandatangani secara digital menggunakan sertifikat yang sudah kedaluwarsa.
- Semua skenario berujung pada pengiriman Cobalt Strike sebagai payload utama.
Rantai Infeksi dan Teknik Sideloading
- Sideloading Melalui MiracastView
Serangan pertama menggunakan MiracastView.exe, komponen asli Windows 10, sebagai loader bersih. File MiracastView.dll digunakan sebagai loader berbahaya, yang menyisipkan dua file muatan: SyncRes.dat dan Dsccorer.mui.
Kami mendeteksi koneksi C2 ke server yang dikendalikan oleh Cobalt Strike, seperti note.googlestaic[.]com. Meskipun kami tidak berhasil mendapatkan seluruh paket berbahaya saat itu, analisis metadata dan VirusTotal menunjukkan file ini terkait erat dengan serangan lainnya.
- Skenario PrintDialog
Skenario kedua terdeteksi melalui aplikasi LetstalkApplication.exe, sebuah alat chat dari Taiwan. Aplikasi ini tampak sah namun melakukan aktivitas mencurigakan seperti 200 koneksi IP keluar, 135 perubahan registry, dan ratusan operasi baca/tulis file.
Dalam kasus ini, file PrintDialog.exe berfungsi sebagai loader bersih, dan PrintDialog.dll sebagai loader berbahaya, dengan muatan sama seperti kasus sebelumnya.
- Skenario SystemSettings
Di waktu yang hampir bersamaan, kami mengamati kasus ketiga yang menggunakan SystemSettings.exe sebagai loader bersih. File loader berbahaya bernama SystemSettings.dll dan memuat dua file muatan: wuapi.dat dan mprapi.dat.
Berbeda dari dua kasus sebelumnya, kami berhasil mengambil dan menganalisis file berbahaya ini. Kami menemukan bahwa mereka menggunakan Minhook untuk menyadap fungsi-fungsi penting API Windows seperti GetProcAddress dan FreeLibrary. File Minhook yang digunakan ternyata identik dengan yang tersedia secara publik di GitHub.
Kejutan dari Swedia
Kami mengira serangan lanjutan akan tetap menyasar wilayah Asia, namun kami justru menemukan varian baru yang menargetkan Swedia. File yang digunakan tetap memakai nama yang sama, namun kini Minhook dimuat oleh payload, bukan oleh loader.
Yang mengejutkan lagi, installer-nya ditandatangani secara digital dengan sertifikat dari Gala Lab Corp., perusahaan game online asal Korea. Walaupun sertifikatnya sudah kedaluwarsa sejak awal 2023, tanda tangan digital masih bisa dianggap sah jika waktu sistem diubah mundur—indikasi bahwa penyerang menggunakan sertifikat yang bocor atau disalahgunakan.
Strategi Penggunaan File Sah
Yang tidak biasa, file loader bersih seperti SystemSettings.exe tidak disertakan dalam installer. Penyerang memanfaatkan versi sah dari Windows yang sudah ada di sistem korban. Strategi ini mencerminkan tren LOLBins (Living Off the Land Binaries)—teknik menggunakan file sah untuk menyamarkan aktivitas berbahaya.
Kesimpulan
Kampanye ini menunjukkan bagaimana aktor ancaman bisa mengubah taktik namun tetap mempertahankan alat yang sama. Dengan menggabungkan teknik sideloading, penggunaan sertifikat digital yang bocor, hooking API melalui Minhook, dan memanfaatkan file sah milik sistem, mereka dapat menghindari deteksi dan mengirimkan payload Cobalt Strike dengan cara yang sangat tersembunyi.
Serangan yang awalnya tampak terpisah ternyata terhubung erat satu sama lain—semua mengarah pada satu pelaku yang cukup canggih dan adaptif.
Apakah Anda sudah mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat terbaik dan ulasan terbanyak?
Jika Anda berminat, kami mengundang Anda untuk menghubungi Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan unggulan ini. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia jika Anda ingin penjelasan lebih mendalam.
