Direct Release: Odinaff: Trojan Baru Digunakan Dalam Serangan Keuangan Tingkat Tinggi Beberapa bank diserang oleh kelompok terkait Carbanak
Sejak Januari 2016, kampanye terselubung yang melibatkan malware dengan nama Trojan.Odinaff telah menargetkan sejumlah organisasi keuangan di seluruh dunia. Serangan ini nampaknya sangat terfokus pada organisasi yang bergerak di sektor perbankan, sekuritas, perdagangan, dan pembayaran gaji. Organisasi yang menyediakan layanan dukungan untuk industri ini juga menjadi target.
Odinaff biasanya digunakan dalam tahap pertama dari serangan, untuk mendapatkan pijakan di jaringan, sehingga dapat hadir terus-menerus dan memiliki kemampuan untuk menginstal alat tambahan ke jaringan yang menjadi target. Alat-alat tambahan memiliki keunggulan dari penyerang canggih yang telah menjangkiti industri keuangan setidaknya sejak tahun 2013-Carbanak. Gelombang baru serangan ini juga menggunakan beberapa infrastruktur yang sebelumnya telah digunakan dalam kampanye Carbanak.
Serangan-serangan ini membutuhkan keterlibatan besar dengan penggelaran yang metodis dari berbagai back door ringan dan alat yang dibuat khusus, ke dalam komputer target yang spesifik. Tampaknya ada investasi besar dalam koordinasi, pengembangan, penggelaran, dan operasi alat-alat tersebut selama serangan. Alat-alat malware yang disesuaikan dan dibuat dengan tujuan untuk komunikasi tersembunyi (Backdoor.Batel), penemuan jaringan, pencurian kredensial, dan pemantauan aktivitas karyawan, dikerahkan.
Meskipun sulit untuk dilakukan, jenis-jenis serangan terhadap bank bisa sangat menguntungkan. Perkiraan dari total kerugian serangan terkait dengan Carbanak berkisar dari puluhan juta hingga ratusan juta dolar.
Ancaman Global
Serangan yang melibatkan Odinaff tampaknya telah dimulai pada Januari 2016. Serangan itu menghantam berbagai daerah, dengan AS yang paling sering ditargetkan, diikuti oleh Hongkong, Australia, Inggris dan Ukraina.
Sebagian besar serangan Odinaff tertuju pada target keuangan. Dalam serangan dimana sifat bisnis korban diketahui, sejauh ini keuangan merupakan sektor yang paling sering terkena, akuntansi untuk 34 persen dari serangan. Ada sejumlah kecil serangan terhadap organisasi di bidang sekuritas, hukum, layanan kesehatan, pemerintah dan jasa layanan pemerintah. Namun, tidak jelas apakah semuanya termotivasi karena finansial.
Sekitar 60 persen dari serangan ditargetkan pada sektor bisnis tidak diketahui, tetapi dalam banyak kasus serangan dilancarkan ke komputer yang menjalankan aplikasi software keuangan, yang berarti serangan itu kemungkinan besar dimotivasi oleh keuntungan finansial.
Titik Awal Serangan
Penyerang Odinaff menggunakan berbagai metode untuk masuk ke jaringan organisasi yang ditargetkan. Salah satu metode serangan paling umum adalah melalui dokumen bujukan yang berisi makro berbahaya. Jika penerima memilih untuk mengaktifkan makro, maka makro tersebut akan menginstal Trojan Odinaff di komputer mereka.
Serangan lain melibatkan penggunaan arsip RAR dengan perlindungan sandi, dengan tujuan untuk membuat korban menginstal Odinaff di komputer mereka. Meskipun Symantec belum melihat bagaimana dokumen-dokumen berbahaya atau link tersebut didistribusikan, kami yakin email spear-pishing adalah metode yang paling memungkinkan.
Trojan.Odinaff juga terlihat didistribusikan melalui botnet, dimana Trojan dimasukkan ke dalam komputer yang sudah terinfeksi malware lainnya, seperti Andromeda ((Downloader.Dromedan) dan Snifula (Trojan.Snifula). Dalam kasus Andromeda, ini digabungkan sebagai installer Trojanized untuk AmmyyAdmin, alat administrasi jarak jauh yang sah. Installer Trojanized di download dari situs resmi, yang telah ditargetkan berulang kali dalam beberapa waktu terakhir untuk menyebarkan sejumlah keluarga malware yang berbeda.
Perangkat Malware
Odinaff adalah Trojan backdoor ringan yang berhubungan ke ke remote host dan mencari perintah setiap lima menit. Odinaff memiliki dua fungsi utama: dapat mengunduh file ter-enkripsi RC4 dan mengeksekusi mereka dan juga dapat mengeluarkan perintah shell, yang ditulis ke sekumpulan file dan kemudian dieksekusi.
Mengingat sifat spesial dari serangan-serangan ini, sejumlah besar intervensi manual diperlukan. Kelompok Odinaff berhati-hati mengelola serangannya, menjaga agar tak terdeteksi di jaringan organisasi, mendownload dan menginstal alat-alat baru hanya bila diperlukan.
Trojan.Odinaff digunakan untuk melakukan kompromi awal, sementara alat-alat lain dikerahkan untuk menyelesaikan serangan. Potongan kedua malware dikenal sebagai Batle (Backdoor.Batel) digunakan pada komputer yang menarik bagi penyerang. Ini mampu menjalankan muatan hanya dalam memori, yang berarti malware dapat mempertahankan kehadiran tersembunyi pada komputer yang terinfeksi.
Para penyerang memperluas penggunaan rangkaian alat hacking yang ringan dan software sah untuk melintasi jaringan dan mengidentifikasi komputer utama, hal ini termasuk:
- Mimikatz, alat pemulihan sandi open source
- PsExec, alat eksekusi proses dari SysInternals
- Netscan, alat scanning jaringan
- Ammyy Admin (Ammyy) dan varian Remote Manipulator System (Backdoor.Gussdoor)
- Runas, alat untuk menjalankan proses sebagai pengguna lain
- PowerShell
Kelompok ini juga tampaknya telah mengembangkan malware yang dirancang untuk menyusupi komputer tertentu. Waktu membangun alat-alat ini sangat dekat dengan waktu penggelaran. Diantaranya adalah komponen yang mampu mengambil gambar screenshot pada interval antara lima dan 30 detik.
Bukti Serangan Terhadap Pengguna SWIFT
Symantec telah menemukan bukti bahwa kelompok Odinaff yang telah melakukan serangan terhadap pengguna SWIFT, menggunakan malware untuk menyembunyikan catatan pelanggan mengenai pesan SWIFT yang berkaitan dengan transaksi palsu. Alat yang digunakan, dirancang untuk memantau log pesan lokal pelanggan untuk kata kunci yang berkaitan dengan transaksi tertentu. Mereka kemudian akan memindahkan log-log ini keluar dari lingkungan software SWIFT lokal pelanggan. Kami tidak punya indikasi bahwa jaringan SWIFT itu sendiri terganggu.
Komponen-komponen “penindas/suppressor” kecil adalah executables kecil yang ditulis dalam C, yang memantau folder-folder tertentu untuk file yang berisi rangkaian teks tertentu. Di antara rangkaian yang dilihat oleh Symantec adalah referensi untuk tanggal dan Nomor Rekening Bank Internasional (IBAN) yang spesifik.
Struktur folder dalam sistem ini tampaknya sebagian besar ditentukan pengguna dan pemilik, yang berarti setiap executable dengan jelas disesuaikan untuk sistem target.
Salah satu file yang ditemukan bersama dengan suppressor adalah wiper disk kecil yang overwrites 512 byte pertama dari hard drive. Daerah ini berisi Master Boot Record (MBR) yang dibutuhkan agar drive dapat diakses tanpa alat khusus. Kami percaya alat ini digunakan untuk menutupi jejak penyerang saat mereka mengabaikan sistem dan/atau untuk menggagalkan investigasi.
Serangan-serangan Odinaff ini adalah contoh dari kelompok lain yang diyakini terlibat dalam kegiatan semacam ini, menyusul pencurian di bank sentral Bangladesh yang terkait dengan kelompok Lazarus. Tidak ada hubungan yang jelas antara serangan-serangan Odinaff dan serangan terhadap lingkungan SWIFT bank dikaitkan dengan Lazarus dan malware terkait SWIFT yang digunakan oleh kelompok Odinaff tidak ada kemiripan dengan Trojan.Banswift, malware yang digunakan dalam serangan yang terkait Lazarus.
Kaitan yang berhubungan dengan Carbanak
Serangan-serangan yang melibatkan Odinaff membagikan beberapa tautan ke kelompok Carbanak, yang kegiatannya menjadi publik pada akhir 2014. Carbanak juga mengkhususkan diri dalam serangan-serangan bernilai tinggi terhadap lembaga keuangan dan telah terlibat dalam serangkaian serangan terhadap bank selain ke intrusi titik penjualan (PoS).
Selain dari modus operandi yang sama, ada sejumlah link lainnya antara Carbanak dan Odinaff:
- Ada tiga komando dan kontrol (C&C) alamat IP yang telah terhubung ke kampanye Carbanak yang telah dilaporkan sebelumnya
- Satu alamat IP yang digunakan oleh Odinaff disebutkan dalam hubungannya dengan pelanggaran Oracle MICROS, yang dikaitkan dengan kelompok Carbanak
- Batel telah terlibat dalam beberapa insiden yang melibatkan Carbanak
Karena Trojan utama Carbanak, Anunak (Trojan.Carberp.B dan Trojan.Carberp.D) tidak pernah diamati pada kampanye yang melibatkan Odinaff, kami yakin kelompok ini menggunakan sejumlah saluran distribusi rahasia untuk menyusupi organisasi keuangan.
Meskipun memungkinkan bahwa Odinaff merupakan bagian dari organisasi yang lebih luas, crossover infrastruktur bersifat atipikal, yang berarti juga bisa menjadi kelompok yang sama atau bekerja sama.
Bank semakin jadi target
Penemuan Odinaff menunjukan bahwa bank-bank memiliki resiko serangan yang semakin besar. Selama beberapa tahun terakhir ini, penjahat cyber telah mulai menunjukkan pemahaman yang mendalam tentang sistem keuangan internal yang digunakan oleh bank-bank. Mereka telah belajar bahwa bank menggunakan beragam sistem dan telah menginvestasikan waktu untuk mengetahui bagaimana mereka bekerja dan bagaimana karyawan mengoperasikannya. Bila digabungkan dengan keahlian teknis tingkat tinggi yang ada di beberapa kelompok, kelompok-kelompok ini sekarang menimbulkan ancaman yang signifikan bagi organisasi manapun yang mereka targetkan.
Perlindungan
Produk Symantec dan Norton mendeteksi ancaman ini sebagai:
Antivirus
Pencegahan Intrusi
System Infected: Trojan.Odinaff Activity
Bluecoat
Produk Bluecoat akan:
- Memblokir lalu lintas jaringan yang melanggar
- Mendeteksi dan memblokir malware yang digunakan sebagai Backdoor.Batel dan Trojan.Odinaff
Indikator Kompromi
Berikut ini adalah contoh dari berbagai alat yang digunakan:
Odinaff droppers
- f7e4135a3d22c2c25e41f83bb9e4ccd12e9f8a0f11b7db21400152cd81e89bf5
- c122b285fbd2db543e23bc34bf956b9ff49e7519623817b94b2809c7f4d31d14
Odinaff document droppers
- 102158d75be5a8ef169bc91fefba5eb782d6fa2186bd6007019f7a61ed6ac990
- 60ae0362b3f264981971672e7b48b2dda2ff61b5fde67ca354ec59dbf2f8efaa
Odinaff samples
- 22be72632de9f64beca49bf4d17910de988f3a15d0299e8f94bcaeeb34bb8a96
- 2503bdaeaa264bfc67b3a3603ee48ddb7b964d6466fac0377885c6649209c098
SWIFT log suppressors
- 84d348eea1b424fe9f5fe8f6a485666289e39e4c8a0ff5a763e1fb91424cdfb8
Backdoor.Batel RTF document dropper
- 21e897fbe23a9ff5f0e26e53be0f3b1747c3fc160e8e34fa913eb2afbcd1149f
Backdoor.Batel stagers
- 001221d6393007ca918bfb25abbb0497981f8e044e377377d51d82867783a746
- 1d9ded30af0f90bf61a685a3ee8eb9bc2ad36f82e824550e4781f7047163095a
Older Batel *.CPL droppers
- 1710b33822842a4e5029af0a10029f8307381082da7727ffa9935e4eabc0134d
- 298d684694483257f12c63b33220e8825c383965780941f0d1961975e6f74ebd
Cobalt Strike, possible ATM implants
- 429bdf288f400392a9d3d6df120271ea20f5ea7d59fad745d7194130876e851e
- 44c783205220e95c1690ef41e3808cd72347242153e8bdbeb63c9b2850e4b579
Cobalt Strike implants
- 1341bdf6485ed68ceba3fec9b806cc16327ab76d18c69ca5cd678fb19f1e0486
- 48fb5e3c3dc17f549a76e1b1ce74c9fef5c94bfc29119a248ce1647644b125c7
Backdoor.Batel loaders
- 0ffe521444415371e49c6526f66363eb062b4487a43c75f03279f5b58f68ed24
- 174236a0b4e4bc97e3af88e0ec82cced7eed026784d6b9d00cc56b01c480d4ed
Stagers (MINGW)
- d94d58bd5a25fde66a2e9b2e0cc9163c8898f439be5c0e7806d21897ba8e1455
- 3cadacbb37d4a7f2767bc8b48db786810e7cdaffdef56a2c4eebbe6f2b68988e
Disk wipers
- 72b4ef3058b31ac4bf12b373f1b9712c3a094b7d68e5f777ba71e9966062af17
- c361428d4977648abfb77c2aebc7eed5b2b59f4f837446719cb285e1714da6da
Keylogger
- e07267bbfcbff72a9aff1872603ffbb630997c36a1d9a565843cb59bc5d97d90
Screengrabbers
- a7c3f125c8b9ca732832d64db2334f07240294d74ba76bdc47ea9d4009381fdc
- ae38884398fe3f26110bc3ca09e9103706d4da142276dbcdba0a9f176e0c275c
Command shells
- 9041e79658e3d212ece3360adda37d339d455568217173f1e66f291b5765b34a
- e1f30176e97a4f8b7e75d0cdf85d11cbb9a72b99620c8d54a520cecc29ea6f4a
HTTP Backconnect
- b25eee6b39f73367b22df8d7a410975a1f46e7489e2d0abbc8e5d388d8ea7bec
Connection checkers
- 28fba330560bcde299d0e174ca539153f8819a586579daf9463aa7f86e3ae3d5
- d9af163220cc129bb722f2d80810585a645513e25ab6bc9cece4ed6b98f3c874
PoisonIvy loaders
- 25ff64c263fb272f4543d024f0e64fbd113fed81b25d64635ed59f00ff2608da
- 91601e3fbbebcfdd7f94951e9b430608f7669eb80f983eceec3f6735de8f260c
Ammyy Admin remote administration tools
- 0caaf7a461a54a19f3323a0d5b7ad2514457919c5af3c7e392a1e4b7222ef687
- 295dd6f5bab13226a5a3d1027432a780de043d31b7e73d5414ae005a59923130
Ammyy Admin, Trojanized
- cce04fa1265cbfd61d6f4a8d989ee3c297bf337a9ee3abc164c9d51f3ef1689f
RemoteUtilities remote administration tools
- 2ba2a8e20481d8932900f9a084b733dd544aaa62b567932e76620628ebc5daf1
- 3232c89d21f0b087786d2ba4f06714c7b357338daedffe0343db8a2d66b81b51
Runas
- 170282aa7f2cb84e023f08339ebac17d8fefa459f5f75f60bd6a4708aff11e20
Mimikatz
- 7d7ca44d27aed4a2dc5ddb60f45e5ab8f2e00d5b57afb7c34c4e14abb78718d4
- e5a702d70186b537a7ae5c99db550c910073c93b8c82dd5f4a27a501c03bc7b6
Kasidet
- c1e797e156e12ace6d852e51d0b8aefef9c539502461efd8db563a722569e0d2
- cee2b6fa4e0acd06832527ffde20846bc583eb06801c6021ea4d6bb828bfe3ba