Cybercriminals, telah mulai secara aktif mengeksploitasi kelemahan Microsoft Office, namun Microsoft tidak menanggapi masalah keamanan tersebut dan menolak untuk menambalnya. Bulan lalu, hacker berhasil memanfaatkan fitur built-in dari fitur Microsoft Office, yang disebut Dynamic Data Exchange (DDE), fitur tersebut dimanfaatkan untuk melakukan eksekusi kode jarak jauh pada perangkat yang ditargetkan tanpa memerlukan Macro yang diaktifkan atau memanfaatkan memory corruption.
Protokol DDE adalah salah satu dari beberapa metode yang digunakan Microsoft untuk memungkinkan dua aplikasi yang berjalan untuk berbagi data yang sama. Protokol ini digunakan oleh ribuan aplikasi, termasuk MS Excel, MS Word, Quattro Pro, dan Visual Basic untuk transfer data dan untuk pertukaran secara terus menerus untuk mengirim pembaruan satu sama lain.
Setelah rincian serangan DDE diumumkan, beberapa laporan muncul tentang berbagai kampanye serangan yang telah meluas dengan menyalahgunakan teknik remote code yang memanfaatkan Protokol DDE untuk menargetkan beberapa organisasi. Teknik serangan DDE ini telah dimanfaatkan oleh kelompok peretas Advanced Persistent Threat (APT) APT28, yang dikenal dengan nama Fancy Bear dan diyakini secara luas didukung oleh pemerintah Rusia.
Saat menganalisis kampanye phishing tersebut, peneliti keamanan menemukan bahwa Fancy Bear telah memanfaatkan kerentanan DDE sejak akhir Oktober, menurut sebuah laporan baru-baru ini yang diterbitkan oleh para peneliti McAfee. Kampanye tersebut melibatkan dokumen yang merujuk pada serangan yang dilancarkan di New York City dalam upaya untuk mengelabui korban agar mengklik dokumen-dokumen jahat, yang pada akhirnya akan menginfeksi sistem mereka dengan malware. Karena DDE adalah fitur asli milik Microsoft, sebagian besar antivirus tidak menandai atau memblokir fitur DDE.
Dokumen yang dimaksud yang memiliki lampiran berbahaya (seperti SabreGuard2017.docx atau IsisAttackInNewYork.docx) secara tidak sengaja menjalankan kode berbahaya di komputernya tanpa batasan atau deteksi apa pun. Setelah dibuka, dokumen tersebut menjalankan command-and-control server untuk menginstal tahap pertama malware yang disebut Seduploader pada mesin korban dengan menggunakan perintah PowerShell. Seduploader kemudian mengajukan profil calon korban dengan menarik informasi host dari sistem yang terinfeksi kepada penyerang. Jika sistem itu menarik perhatian, penyerang kemudian menginstal beberapa fitur spyware-X-Agent dan Sedreco.
Ini bukan kampanye malware pertama yang telah terlihat menyalahgunakan teknik serangan DDE. Peneliti keamanan Cisco Talos menemukan kampanye serangan yang secara aktif mengeksploitasi teknik serangan ini untuk menargetkan beberapa organisasi dengan menggunakan trojan remote akses yang disebut DNSMessenger. Para peneliti menemukan kampanye yang menyebarkan trojan Locky dan trojan TrickBot melalui dokumen Word yang memanfaatkan teknik DDE. Kampanye spam malware lainnya juga ditemukan oleh peneliti keamanan lainnya yang menemukan penyebaran malware Hancitor (Chanitor dan Tordal) dengan menggunakan Microsoft Office DDE exploit.
Protokol DDE adalah salah satu dari beberapa metode yang digunakan Microsoft untuk memungkinkan dua aplikasi yang berjalan untuk berbagi data yang sama. Protokol ini digunakan oleh ribuan aplikasi, termasuk MS Excel, MS Word, Quattro Pro, dan Visual Basic untuk transfer data dan untuk pertukaran secara terus menerus untuk mengirim pembaruan satu sama lain.
Setelah rincian serangan DDE diumumkan, beberapa laporan muncul tentang berbagai kampanye serangan yang telah meluas dengan menyalahgunakan teknik remote code yang memanfaatkan Protokol DDE untuk menargetkan beberapa organisasi. Teknik serangan DDE ini telah dimanfaatkan oleh kelompok peretas Advanced Persistent Threat (APT) APT28, yang dikenal dengan nama Fancy Bear dan diyakini secara luas didukung oleh pemerintah Rusia.
Saat menganalisis kampanye phishing tersebut, peneliti keamanan menemukan bahwa Fancy Bear telah memanfaatkan kerentanan DDE sejak akhir Oktober, menurut sebuah laporan baru-baru ini yang diterbitkan oleh para peneliti McAfee. Kampanye tersebut melibatkan dokumen yang merujuk pada serangan yang dilancarkan di New York City dalam upaya untuk mengelabui korban agar mengklik dokumen-dokumen jahat, yang pada akhirnya akan menginfeksi sistem mereka dengan malware. Karena DDE adalah fitur asli milik Microsoft, sebagian besar antivirus tidak menandai atau memblokir fitur DDE.
Dokumen yang dimaksud yang memiliki lampiran berbahaya (seperti SabreGuard2017.docx atau IsisAttackInNewYork.docx) secara tidak sengaja menjalankan kode berbahaya di komputernya tanpa batasan atau deteksi apa pun. Setelah dibuka, dokumen tersebut menjalankan command-and-control server untuk menginstal tahap pertama malware yang disebut Seduploader pada mesin korban dengan menggunakan perintah PowerShell. Seduploader kemudian mengajukan profil calon korban dengan menarik informasi host dari sistem yang terinfeksi kepada penyerang. Jika sistem itu menarik perhatian, penyerang kemudian menginstal beberapa fitur spyware-X-Agent dan Sedreco.
Ini bukan kampanye malware pertama yang telah terlihat menyalahgunakan teknik serangan DDE. Peneliti keamanan Cisco Talos menemukan kampanye serangan yang secara aktif mengeksploitasi teknik serangan ini untuk menargetkan beberapa organisasi dengan menggunakan trojan remote akses yang disebut DNSMessenger. Para peneliti menemukan kampanye yang menyebarkan trojan Locky dan trojan TrickBot melalui dokumen Word yang memanfaatkan teknik DDE. Kampanye spam malware lainnya juga ditemukan oleh peneliti keamanan lainnya yang menemukan penyebaran malware Hancitor (Chanitor dan Tordal) dengan menggunakan Microsoft Office DDE exploit.
0 comments :