Serangan Phishing Microsoft Teams Menyebarkan Malware A0Backdoor ke Perusahaan

Sebuah kampanye phishing baru memanfaatkan Microsoft Teams untuk menargetkan karyawan di sektor keuangan dan kesehatan. Dalam serangan ini, pelaku memanfaatkan teknik rekayasa sosial untuk menipu korban agar memberikan akses jarak jauh ke komputer mereka, yang kemudian digunakan untuk menyebarkan malware bernama A0Backdoor.

Serangan tersebut pertama kali diungkap oleh peneliti keamanan siber dari BlueVoyant yang menemukan bahwa pelaku menyasar karyawan perusahaan melalui komunikasi langsung di platform Teams.

Modus Penipuan Mengatasnamakan Staf IT

Dalam skenario serangan ini, pelaku terlebih dahulu membanjiri email korban dengan pesan spam dalam jumlah besar. Setelah itu, mereka menghubungi korban melalui Microsoft Teams dengan menyamar sebagai staf IT perusahaan.

Pelaku kemudian menawarkan bantuan untuk mengatasi masalah email spam yang dialami korban. Dengan memanfaatkan kepercayaan korban, penyerang meminta pengguna untuk memulai sesi akses jarak jauh menggunakan fitur Quick Assist, alat bawaan Windows yang memang dirancang untuk membantu dukungan teknis.

Begitu korban memberikan akses, pelaku dapat mengendalikan komputer target dan menginstal perangkat lunak berbahaya.

Malware Disamarkan sebagai Komponen Microsoft

Setelah akses diperoleh, penyerang mengunduh dan menjalankan sejumlah file instalasi MSI yang telah ditandatangani secara digital. File tersebut disimpan pada akun penyimpanan cloud pribadi milik pelaku di layanan Microsoft.

Agar terlihat sah, file MSI tersebut menyamar sebagai komponen Microsoft Teams serta CrossDeviceService, sebuah layanan Windows yang digunakan oleh aplikasi Phone Link.

Serangan ini juga memanfaatkan teknik DLL sideloading, yaitu memuat pustaka berbahaya melalui aplikasi yang tampak sah. Dalam kasus ini, pelaku memanfaatkan pustaka bernama hostfxr.dll yang berisi data terenkripsi atau terkompresi.

Saat pustaka tersebut dijalankan, data di dalamnya didekripsi menjadi shellcode yang kemudian menjalankan payload utama.

Mekanisme Perlindungan dari Analisis

Peneliti menemukan bahwa pustaka berbahaya tersebut menggunakan fungsi CreateThread untuk membuat banyak thread sekaligus. Teknik ini digunakan untuk mengganggu proses analisis oleh debugger keamanan.

Shellcode yang dijalankan kemudian melakukan deteksi terhadap lingkungan sandbox sebelum mengekstrak malware A0Backdoor yang sebelumnya telah dienkripsi menggunakan algoritma AES.

Malware tersebut kemudian memindahkan dirinya ke area memori baru dan mulai menjalankan fungsi inti yang memungkinkan pengumpulan informasi sistem korban.

Beberapa API Windows yang digunakan untuk mengumpulkan informasi perangkat antara lain:

• DeviceIoControl
• GetUserNameExW
• GetComputerNameW

Informasi ini digunakan untuk mengidentifikasi sistem target dan menyesuaikan operasi malware.

Komunikasi Tersembunyi Melalui DNS

Salah satu teknik yang digunakan untuk menyembunyikan aktivitas malware adalah komunikasi dengan server command-and-control (C2) melalui lalu lintas DNS.

Malware mengirimkan permintaan DNS MX query yang berisi metadata terenkripsi dalam subdomain tertentu. Server DNS kemudian merespons dengan catatan MX yang mengandung data perintah bagi malware.

Pendekatan ini membuat aktivitas jaringan terlihat seperti lalu lintas DNS normal sehingga lebih sulit terdeteksi oleh sistem keamanan yang biasanya memantau teknik DNS tunneling berbasis TXT record.

Target Serangan dan Dugaan Keterkaitan

BlueVoyant mengidentifikasi setidaknya dua organisasi yang menjadi target dalam kampanye ini, yaitu sebuah lembaga keuangan di Kanada dan organisasi layanan kesehatan global.

Para peneliti menilai dengan tingkat keyakinan menengah hingga tinggi bahwa kampanye ini merupakan evolusi dari teknik yang sebelumnya digunakan oleh kelompok ransomware BlackBasta.

Kelompok tersebut diketahui telah bubar setelah log percakapan internal mereka bocor ke publik. Namun beberapa teknik yang digunakan dalam kampanye baru ini menunjukkan kemiripan dengan metode operasi kelompok tersebut.

Meski begitu, sejumlah elemen dalam serangan ini tergolong baru, termasuk penggunaan file MSI bertanda tangan digital, pemanfaatan pustaka berbahaya untuk sideloading, malware A0Backdoor, serta mekanisme komunikasi C2 melalui DNS MX.