Aktor Ancaman Gunakan Microsoft Teams untuk Menyebarkan Malware Baru “Snow”
Sebuah kelompok peretas yang dilacak sebagai UNC6692 terdeteksi menggunakan taktik rekayasa sosial (social engineering) untuk menyebarkan rangkaian malware kustom baru yang diberi nama “Snow”. Gudang persenjataan siber baru ini mencakup ekstensi peramban (browser extension), tunneler, dan sebuah backdoor (pintu belakang).
Tujuan utama dari kampanye ini adalah untuk mencuri data sensitif perusahaan setelah berhasil melakukan kompromi jaringan yang mendalam melalui pencurian kredensial dan pengambilalihan domain.
Taktik Bom Email dan Penyamaran IT Support
Menurut tim peneliti keamanan siber Mandiant dari Google, penyerang mengawali aksinya dengan menggunakan taktik “bom email” (email bombing). Tujuannya adalah untuk menciptakan kepanikan dan urgensi pada korban akibat dibanjiri ribuan email spam dalam waktu singkat.
Setelah korban merasa kewalahan, peretas akan langsung menghubungi target mereka melalui Microsoft Teams, menyamar dengan rapi sebagai agen dukungan TI (IT helpdesk). Laporan terbaru dari Microsoft memang telah menyoroti semakin populernya taktik ini di ruang kejahatan siber, di mana pengguna sering kali tertipu untuk memberikan akses jarak jauh kepada penyerang.
Dalam kasus UNC6692, korban akan dipandu untuk mengklik sebuah tautan yang diklaim sebagai tambalan (patch) untuk memblokir spam email yang sedang terjadi. Pada kenyataannya, korban justru mengunduh sebuah dropper yang mengeksekusi skrip AutoHotkey untuk memuat “SnowBelt”, sebuah ekstensi peramban Chrome yang berbahaya.
Rangkaian Malware “Snow”
Rangkaian malware ini beroperasi secara tersembunyi dan terstruktur dengan membagi tugas ke dalam tiga komponen utama:
- SnowBelt (Ekstensi Peramban): Ekstensi ini dieksekusi pada instans Microsoft Edge tanpa antarmuka grafis (headless), sehingga korban sama sekali tidak menyadari adanya aktivitas mencurigakan. Ekstensi ini juga membuat tugas terjadwal dan pintasan folder startup untuk memastikan persistensi (keberadaannya) di sistem. SnowBelt berfungsi sebagai mekanisme relai untuk perintah yang dikirim oleh operator.
- SnowGlaze (Tunneler): Perintah dikirimkan melalui terowongan WebSocket yang dibuat oleh alat bernama SnowGlaze. Alat ini menyamarkan komunikasi antara inang (host) dan infrastruktur Komando-dan-Kontrol (C2). SnowGlaze juga memfasilitasi operasi proksi SOCKS, yang memungkinkan lalu lintas TCP arbitrer dirutekan melalui perangkat yang terinfeksi.
- SnowBasin (Backdoor): Komponen inti yang ditulis dalam bahasa Python ini menjalankan server HTTP lokal dan mengeksekusi perintah CMD atau PowerShell yang disediakan oleh penyerang. Malware ini mendukung akses shell jarak jauh, eksfiltrasi data, pengunduhan fail, pengambilan tangkapan layar, operasi manajemen fail dasar, hingga perintah pemusnahan diri (self-termination) untuk menghapus jejak.
Pencurian Kredensial dan Pengambilalihan Domain
Mandiant menemukan bahwa setelah berhasil menyusupi sistem, penyerang melakukan pengintaian internal. Mereka memindai layanan seperti SMB dan RDP untuk mengidentifikasi target tambahan, lalu bergerak secara lateral (menyamping) di dalam jaringan perusahaan.
Para peretas ini kemudian membuang memori LSASS untuk mengekstrak materi kredensial dan menggunakan teknik pass-the-hash untuk mengautentikasi diri ke host tambahan, yang pada akhirnya membawa mereka ke pencapaian tertinggi: pengontrol domain (domain controllers).
Pada tahap akhir serangan, aktor ancaman mengerahkan alat FTK Imager untuk mengekstrak basis data Active Directory, bersama dengan hive registri SYSTEM, SAM, dan SECURITY. Berbekal data krusial ini—yang dieksfiltrasi dari jaringan menggunakan aplikasi LimeWire—penyerang mendapatkan akses penuh ke data kredensial sensitif di seluruh domain organisasi.
