Direct Release: Odinaff: Trojan Baru Digunakan Dalam Serangan Keuangan Tingkat Tinggi Beberapa bank diserang oleh kelompok terkait Carbanak

Reading time:
October 19, 2016

Sejak Januari 2016, kampanye terselubung yang melibatkan malware dengan nama Trojan.Odinaff telah menargetkan sejumlah organisasi keuangan di seluruh dunia. Serangan ini nampaknya sangat terfokus pada organisasi yang bergerak di sektor perbankan, sekuritas, perdagangan, dan pembayaran gaji. Organisasi yang menyediakan layanan dukungan untuk industri ini juga menjadi target.

Odinaff biasanya digunakan dalam tahap pertama dari serangan, untuk mendapatkan pijakan di jaringan, sehingga dapat hadir terus-menerus dan memiliki kemampuan untuk menginstal alat tambahan ke jaringan yang menjadi target. Alat-alat tambahan memiliki keunggulan dari penyerang canggih yang telah menjangkiti industri keuangan setidaknya sejak tahun 2013-Carbanak. Gelombang baru serangan ini juga menggunakan beberapa infrastruktur yang sebelumnya telah digunakan dalam kampanye Carbanak.

Serangan-serangan ini membutuhkan keterlibatan besar dengan penggelaran yang metodis dari berbagai back door ringan dan alat yang dibuat khusus, ke dalam komputer target yang spesifik. Tampaknya ada investasi besar dalam koordinasi, pengembangan, penggelaran, dan operasi alat-alat tersebut selama serangan. Alat-alat malware yang disesuaikan dan dibuat dengan tujuan untuk komunikasi tersembunyi (Backdoor.Batel), penemuan jaringan, pencurian kredensial, dan pemantauan aktivitas karyawan, dikerahkan.

Meskipun sulit untuk dilakukan, jenis-jenis serangan terhadap bank bisa sangat menguntungkan. Perkiraan dari total kerugian serangan terkait dengan Carbanak berkisar dari puluhan juta hingga ratusan juta dolar.

Ancaman Global

Serangan yang melibatkan Odinaff tampaknya telah dimulai pada Januari 2016. Serangan itu menghantam berbagai daerah, dengan AS yang paling sering ditargetkan, diikuti oleh Hongkong, Australia, Inggris dan Ukraina.

image001
Gambar 1: Serangan Odinaff berdasarkan wilayah

Sebagian besar serangan Odinaff tertuju pada target keuangan. Dalam serangan dimana sifat bisnis korban diketahui, sejauh ini keuangan merupakan sektor yang paling sering terkena, akuntansi untuk 34 persen dari serangan. Ada sejumlah kecil serangan terhadap organisasi di bidang sekuritas, hukum, layanan kesehatan, pemerintah dan jasa layanan pemerintah. Namun, tidak jelas apakah semuanya termotivasi karena finansial.

Sekitar 60 persen dari serangan ditargetkan pada sektor bisnis tidak diketahui, tetapi dalam banyak kasus serangan dilancarkan ke komputer yang menjalankan aplikasi software keuangan, yang berarti serangan itu kemungkinan besar dimotivasi oleh keuntungan finansial.

image002
Gambar 2: Serangan Odinaff berdasarkan Sektor

Titik Awal Serangan

Penyerang Odinaff menggunakan berbagai metode untuk masuk ke jaringan organisasi yang ditargetkan. Salah satu metode serangan paling umum adalah melalui dokumen bujukan yang berisi makro berbahaya. Jika penerima memilih untuk mengaktifkan makro, maka makro tersebut akan menginstal Trojan Odinaff di komputer mereka.

image003
Gambar 3: Dokumen pemancing mengandung instruksi untuk mengaktifkan Word Macros

Serangan lain melibatkan penggunaan arsip RAR dengan perlindungan sandi, dengan tujuan untuk membuat korban menginstal Odinaff di komputer mereka. Meskipun Symantec belum melihat bagaimana dokumen-dokumen berbahaya atau link tersebut didistribusikan, kami yakin email spear-pishing adalah metode yang paling memungkinkan.

Trojan.Odinaff juga terlihat didistribusikan melalui botnet, dimana Trojan dimasukkan ke dalam komputer yang sudah terinfeksi malware lainnya, seperti Andromeda ((Downloader.Dromedan) dan  Snifula (Trojan.Snifula). Dalam kasus Andromeda, ini digabungkan sebagai installer Trojanized untuk AmmyyAdmin, alat administrasi jarak jauh yang sah. Installer Trojanized di download dari situs resmi, yang telah ditargetkan berulang kali dalam beberapa waktu terakhir untuk menyebarkan sejumlah keluarga malware yang berbeda.

Perangkat Malware

Odinaff adalah Trojan backdoor ringan yang berhubungan ke ke remote host dan mencari perintah setiap lima menit. Odinaff memiliki dua fungsi utama: dapat mengunduh file ter-enkripsi RC4 dan mengeksekusi mereka dan juga dapat mengeluarkan perintah shell, yang ditulis ke sekumpulan file dan kemudian dieksekusi.

Mengingat sifat spesial dari serangan-serangan ini, sejumlah besar intervensi manual diperlukan. Kelompok Odinaff berhati-hati mengelola serangannya, menjaga agar tak terdeteksi di jaringan organisasi, mendownload dan menginstal alat-alat baru hanya bila diperlukan.

Trojan.Odinaff digunakan untuk melakukan kompromi awal, sementara alat-alat lain dikerahkan untuk menyelesaikan serangan. Potongan kedua malware dikenal sebagai Batle (Backdoor.Batel) digunakan pada komputer yang menarik bagi penyerang. Ini mampu menjalankan muatan hanya dalam memori, yang berarti malware dapat mempertahankan kehadiran tersembunyi pada komputer yang terinfeksi.

Para penyerang memperluas penggunaan rangkaian alat hacking yang ringan dan software sah untuk melintasi jaringan dan mengidentifikasi komputer utama, hal ini termasuk:

  • Mimikatz, alat pemulihan sandi open source
  • PsExec, alat eksekusi proses dari SysInternals
  • Netscan, alat scanning jaringan
  • Ammyy Admin (Ammyy) dan varian Remote Manipulator System (Backdoor.Gussdoor)
  • Runas, alat untuk menjalankan proses sebagai pengguna lain
  • PowerShell

Kelompok ini juga tampaknya telah mengembangkan malware yang dirancang untuk menyusupi komputer tertentu. Waktu membangun alat-alat ini sangat dekat dengan waktu penggelaran. Diantaranya adalah komponen yang mampu mengambil gambar screenshot pada interval antara lima dan 30 detik.

Bukti Serangan Terhadap Pengguna SWIFT

Symantec telah menemukan bukti bahwa kelompok Odinaff yang telah melakukan serangan terhadap pengguna SWIFT, menggunakan malware untuk menyembunyikan catatan pelanggan mengenai pesan SWIFT yang berkaitan dengan transaksi palsu. Alat yang digunakan, dirancang untuk memantau log pesan lokal pelanggan untuk kata kunci yang berkaitan dengan transaksi tertentu. Mereka kemudian akan memindahkan log-log ini keluar dari lingkungan software SWIFT lokal pelanggan. Kami tidak punya indikasi bahwa jaringan SWIFT itu sendiri terganggu.

Komponen-komponen “penindas/suppressor” kecil adalah executables kecil yang ditulis dalam C, yang memantau folder-folder tertentu untuk file yang berisi rangkaian teks tertentu. Di antara rangkaian yang dilihat oleh Symantec adalah referensi untuk tanggal dan Nomor Rekening Bank Internasional (IBAN) yang spesifik.

Struktur folder dalam sistem ini tampaknya sebagian besar ditentukan pengguna dan pemilik, yang berarti setiap executable dengan jelas disesuaikan untuk sistem target.

Salah satu file yang ditemukan bersama dengan suppressor adalah wiper disk kecil yang overwrites 512 byte pertama dari hard drive. Daerah ini berisi Master Boot Record (MBR) yang dibutuhkan agar drive dapat diakses tanpa alat khusus. Kami percaya alat ini digunakan untuk menutupi jejak penyerang saat mereka mengabaikan sistem dan/atau untuk menggagalkan investigasi.

Serangan-serangan Odinaff ini adalah contoh dari kelompok lain yang diyakini terlibat dalam kegiatan semacam ini, menyusul pencurian di bank sentral Bangladesh yang terkait dengan kelompok Lazarus. Tidak ada hubungan yang jelas antara serangan-serangan Odinaff dan serangan terhadap lingkungan SWIFT bank dikaitkan dengan Lazarus dan malware terkait SWIFT yang digunakan oleh kelompok Odinaff tidak ada kemiripan dengan Trojan.Banswift, malware yang digunakan dalam serangan yang terkait Lazarus.

Kaitan yang berhubungan dengan Carbanak

Serangan-serangan yang melibatkan Odinaff membagikan beberapa tautan ke kelompok Carbanak, yang kegiatannya menjadi publik pada akhir 2014. Carbanak juga mengkhususkan diri dalam serangan-serangan bernilai tinggi terhadap lembaga keuangan dan telah terlibat dalam serangkaian serangan terhadap bank selain ke intrusi titik penjualan (PoS).

Selain dari modus operandi yang sama, ada sejumlah link lainnya antara Carbanak dan Odinaff:

  • Ada tiga komando dan kontrol (C&C) alamat IP yang telah terhubung ke kampanye Carbanak yang telah dilaporkan sebelumnya
  • Satu alamat IP yang digunakan oleh Odinaff disebutkan dalam hubungannya dengan pelanggaran Oracle MICROS, yang dikaitkan dengan kelompok Carbanak
  • Batel telah terlibat dalam beberapa insiden yang melibatkan Carbanak

Karena Trojan utama Carbanak, Anunak (Trojan.Carberp.B dan Trojan.Carberp.D) tidak pernah diamati pada kampanye yang melibatkan Odinaff, kami yakin kelompok ini menggunakan sejumlah saluran distribusi rahasia untuk menyusupi organisasi keuangan.

Meskipun memungkinkan bahwa Odinaff merupakan bagian dari organisasi yang lebih luas, crossover infrastruktur bersifat atipikal, yang berarti juga bisa menjadi kelompok yang sama atau bekerja sama.

Bank semakin jadi target

Penemuan Odinaff menunjukan bahwa bank-bank memiliki resiko serangan yang semakin besar. Selama beberapa tahun terakhir ini, penjahat cyber telah mulai menunjukkan pemahaman yang mendalam tentang sistem keuangan internal yang digunakan oleh bank-bank. Mereka telah belajar bahwa bank menggunakan beragam sistem dan telah menginvestasikan waktu untuk mengetahui bagaimana mereka bekerja dan bagaimana karyawan mengoperasikannya. Bila digabungkan dengan keahlian teknis tingkat tinggi yang ada di beberapa kelompok, kelompok-kelompok ini sekarang menimbulkan ancaman yang signifikan bagi organisasi manapun yang mereka targetkan.

Perlindungan

Produk Symantec dan Norton mendeteksi ancaman ini sebagai:

Antivirus

Pencegahan Intrusi

System Infected: Trojan.Odinaff Activity

Bluecoat

Produk Bluecoat akan:

  • Memblokir lalu lintas jaringan yang melanggar
  • Mendeteksi dan memblokir malware yang digunakan sebagai Backdoor.Batel dan Trojan.Odinaff

Indikator Kompromi

Berikut ini adalah contoh dari berbagai alat yang digunakan:

Odinaff droppers

  • f7e4135a3d22c2c25e41f83bb9e4ccd12e9f8a0f11b7db21400152cd81e89bf5
  • c122b285fbd2db543e23bc34bf956b9ff49e7519623817b94b2809c7f4d31d14

Odinaff document droppers

  • 102158d75be5a8ef169bc91fefba5eb782d6fa2186bd6007019f7a61ed6ac990
  • 60ae0362b3f264981971672e7b48b2dda2ff61b5fde67ca354ec59dbf2f8efaa

Odinaff samples

  • 22be72632de9f64beca49bf4d17910de988f3a15d0299e8f94bcaeeb34bb8a96
  • 2503bdaeaa264bfc67b3a3603ee48ddb7b964d6466fac0377885c6649209c098

SWIFT log suppressors

  • 84d348eea1b424fe9f5fe8f6a485666289e39e4c8a0ff5a763e1fb91424cdfb8

Backdoor.Batel RTF document dropper 

  • 21e897fbe23a9ff5f0e26e53be0f3b1747c3fc160e8e34fa913eb2afbcd1149f

Backdoor.Batel stagers

  • 001221d6393007ca918bfb25abbb0497981f8e044e377377d51d82867783a746
  • 1d9ded30af0f90bf61a685a3ee8eb9bc2ad36f82e824550e4781f7047163095a

Older Batel *.CPL droppers

  • 1710b33822842a4e5029af0a10029f8307381082da7727ffa9935e4eabc0134d
  • 298d684694483257f12c63b33220e8825c383965780941f0d1961975e6f74ebd

Cobalt Strike, possible ATM implants

  • 429bdf288f400392a9d3d6df120271ea20f5ea7d59fad745d7194130876e851e
  • 44c783205220e95c1690ef41e3808cd72347242153e8bdbeb63c9b2850e4b579

Cobalt Strike implants

  • 1341bdf6485ed68ceba3fec9b806cc16327ab76d18c69ca5cd678fb19f1e0486
  • 48fb5e3c3dc17f549a76e1b1ce74c9fef5c94bfc29119a248ce1647644b125c7

Backdoor.Batel loaders

  • 0ffe521444415371e49c6526f66363eb062b4487a43c75f03279f5b58f68ed24
  • 174236a0b4e4bc97e3af88e0ec82cced7eed026784d6b9d00cc56b01c480d4ed

Stagers (MINGW)

  • d94d58bd5a25fde66a2e9b2e0cc9163c8898f439be5c0e7806d21897ba8e1455
  • 3cadacbb37d4a7f2767bc8b48db786810e7cdaffdef56a2c4eebbe6f2b68988e

Disk wipers

  • 72b4ef3058b31ac4bf12b373f1b9712c3a094b7d68e5f777ba71e9966062af17
  • c361428d4977648abfb77c2aebc7eed5b2b59f4f837446719cb285e1714da6da

Keylogger

  • e07267bbfcbff72a9aff1872603ffbb630997c36a1d9a565843cb59bc5d97d90

Screengrabbers

  • a7c3f125c8b9ca732832d64db2334f07240294d74ba76bdc47ea9d4009381fdc
  • ae38884398fe3f26110bc3ca09e9103706d4da142276dbcdba0a9f176e0c275c

Command shells

  • 9041e79658e3d212ece3360adda37d339d455568217173f1e66f291b5765b34a
  • e1f30176e97a4f8b7e75d0cdf85d11cbb9a72b99620c8d54a520cecc29ea6f4a

HTTP Backconnect

  • b25eee6b39f73367b22df8d7a410975a1f46e7489e2d0abbc8e5d388d8ea7bec

Connection checkers

  • 28fba330560bcde299d0e174ca539153f8819a586579daf9463aa7f86e3ae3d5
  • d9af163220cc129bb722f2d80810585a645513e25ab6bc9cece4ed6b98f3c874

PoisonIvy loaders

  • 25ff64c263fb272f4543d024f0e64fbd113fed81b25d64635ed59f00ff2608da
  • 91601e3fbbebcfdd7f94951e9b430608f7669eb80f983eceec3f6735de8f260c

Ammyy Admin remote administration tools

  • 0caaf7a461a54a19f3323a0d5b7ad2514457919c5af3c7e392a1e4b7222ef687
  • 295dd6f5bab13226a5a3d1027432a780de043d31b7e73d5414ae005a59923130

Ammyy Admin, Trojanized

  • cce04fa1265cbfd61d6f4a8d989ee3c297bf337a9ee3abc164c9d51f3ef1689f

RemoteUtilities remote administration tools

  • 2ba2a8e20481d8932900f9a084b733dd544aaa62b567932e76620628ebc5daf1
  • 3232c89d21f0b087786d2ba4f06714c7b357338daedffe0343db8a2d66b81b51

Runas

  • 170282aa7f2cb84e023f08339ebac17d8fefa459f5f75f60bd6a4708aff11e20

Mimikatz

  • 7d7ca44d27aed4a2dc5ddb60f45e5ab8f2e00d5b57afb7c34c4e14abb78718d4
  • e5a702d70186b537a7ae5c99db550c910073c93b8c82dd5f4a27a501c03bc7b6

Kasidet

  • c1e797e156e12ace6d852e51d0b8aefef9c539502461efd8db563a722569e0d2
  • cee2b6fa4e0acd06832527ffde20846bc583eb06801c6021ea4d6bb828bfe3ba
Load Comments

Gadget

March 5, 2024 - 0

Review vivo V30: Lebih Murah, Lebih Kencang dan Irit dengan Snapdragon + 3 Kamera 50 MP

vivo V30 , smartphone ini juga dibawa vivo hadir resmi…
March 5, 2024 - 0

Review realme 12 Pro+ 5G: Smartphone Berkamera Tele Periscope Paling Murah!

Kalau kalian mencari smartphone mid range dengan kamera telephoto terbaik…
January 26, 2024 - 0

Review vivo Y100 5G: Desain Premium, AMOLED 120 Hz, 5G, Snapdragon BARU!

vivo Y100 5G, ini adalah smartphone terbaru dari jajaran vivo…
December 30, 2023 - 0

Review CMF Watch Pro: Smartwatch dengan Layar 1,96 Inci AMOLED dan Desain Unik

CMF Watch Pro dibanderol dengan harga Rp1.149.000. Dengan harga tersebut…

Laptop

March 7, 2024 - 0

Review MSI Prestige 13 AI EVO A1M: Laptop AI PC Super Tipis, Ringan, Kencang & Irit!

Kali ini kita kedatangan salah satu “AI PC” dari MSI.…
March 6, 2024 - 0

Review Axioo Hype 5 AMD: Laptop 5 Jutaan Sekencang & Selengkap Ini?

Laptop murah yang harganya 5 jutaan ini ternyata kuat juga…
March 5, 2024 - 0

Review ASUS Vivobook Pro 16X OLED K6604: Laptopnya Kreator Profesional!

Laptop ini cocok banget untuk cari duit terlebih bagi kalangan…
February 6, 2024 - 0

Rekomendasi Laptop Premium dari HP – Mulai 10 Jutaan

Di Video rekomendasi kali ini, kami coba pilihkan untuk kalian…

Gaming

March 8, 2024 - 0

Game Fighting Hunter x Hunter Dipastikan 2D!

Gamer mana yang tidak bergembira mendengar bahwa akhirnya, anime /…
March 8, 2024 - 0

Command & Conquer: Generals Kini Tersedia di Steam!

Sepertinya sulit untuk membicarakan game RTS dengan elemen militer kental…
March 8, 2024 - 0

Overwatch 2 Kolaborasi dengan Cowboy Bebop, Hadirkan Trailer Keren!

Kolaborasi antara dua buah franchise yang hadir di media yang…
March 8, 2024 - 0

Kreator Dragon Ball – Akira Toriyama Meninggal Dunia

Hampir semua anak-anak Indonesia yang sempat tumbuh besar di era…