Serangan ransomware Trigona yang baru-baru ini diamati diketahui menggunakan alat baris perintah (command-line) kustom untuk mencuri data dari lingkungan yang disusupi dengan lebih cepat dan efisien.
Utilitas ini digunakan dalam serangkaian serangan pada bulan Maret yang dikaitkan dengan afiliasi geng ransomware tersebut. Langkah ini kemungkinan besar merupakan upaya peretas untuk menghindari penggunaan alat yang tersedia untuk umum, seperti Rclone dan MegaSync, yang pergerakannya biasanya dapat dengan mudah memicu deteksi dari solusi keamanan.
Para peneliti di perusahaan keamanan siber Symantec meyakini bahwa peralihan ke alat kustom ini mungkin menunjukkan bahwa penyerang “menginvestasikan waktu dan upaya pada malware milik sendiri dalam upaya untuk mempertahankan profil yang lebih rendah selama fase kritis serangan mereka.”
Kemampuan dan Taktik “uploader_client.exe”
Dalam laporan terbarunya, peneliti Symantec menyebutkan bahwa alat kustom tersebut diberi nama uploader_client.exe dan terhubung langsung ke alamat server yang telah ditanamkan (hardcoded). Alat ini dirancang secara khusus dengan sejumlah kemampuan performa dan penghindaran (evasion), yang meliputi:
- Dukungan untuk lima koneksi simultan per fail untuk mempercepat proses eksfiltrasi data melalui unggahan paralel.
- Rotasi koneksi TCP setiap kali lalu lintas mencapai 2 GB guna menghindari pemantauan batas transfer jaringan.
- Opsi untuk eksfiltrasi jenis fail selektif, yang secara cerdas mengecualikan fail media berukuran besar namun bernilai rendah.
- Penggunaan kunci autentikasi untuk membatasi akses ke data yang dicuri dari pihak luar.
Dalam salah satu insiden, alat eksfiltrasi ini digunakan secara spesifik untuk mencuri dokumen bernilai tinggi, seperti faktur dan PDF, yang tersimpan di dalam kandar jaringan (network drives).
Kebangkitan Trigona dan Alat Eksploitasi Tambahan
Sebagai kilas balik, Trigona pertama kali beroperasi pada bulan Oktober 2022 sebagai kelompok ransomware pemerasan ganda yang menuntut korbannya untuk membayar tebusan dalam bentuk mata uang kripto Monero.
Meskipun aktivis siber Ukraina sempat melumpuhkan operasi Trigona pada Oktober 2023—dengan meretas server mereka dan mencuri data internal seperti kode sumber dan rekaman basis data—laporan Symantec kali ini menegaskan bahwa aktor ancaman tersebut telah kembali beroperasi sepenuhnya.
Menurut pengamatan Symantec terhadap serangan terbaru Trigona, aktor ancaman mengawali aksinya dengan menginstal alat Huorong Network Security Suite (HRSword) sebagai layanan driver kernel. Fase ini kemudian diikuti dengan penyebaran berbagai alat tambahan yang ditujukan untuk menonaktifkan produk keamanan terkait, seperti PCHunter, Gmer, YDark, WKTools, DumpGuard, dan StpProcessMonitorByovd.
“Banyak dari alat ini memanfaatkan driver kernel yang rentan untuk menghentikan proses perlindungan titik akhir,” catat Symantec.
Selain itu, beberapa utilitas dieksekusi menggunakan PowerRun, sebuah produk yang dapat meluncurkan aplikasi dan skrip dengan hak istimewa yang ditingkatkan untuk melewati perlindungan sistem. Peretas juga kedapatan menyalahgunakan AnyDesk untuk mendapatkan akses jarak jauh langsung ke sistem yang dibobol, sementara alat seperti Mimikatz dan Nirsoft dikerahkan untuk operasi pencurian kredensial dan pemulihan kata sandi.
Untuk membantu tim pertahanan siber, Symantec telah mendaftar Indikator Kompromi (IoC) yang terkait dengan aktivitas terbaru Trigona ini agar serangan dapat dideteksi dan diblokir secara tepat waktu.