Baru-baru ini, kelompok ancaman siber Cloud Atlas sebarkan malware VBCloud melalui kampanye phishing yang canggih. Target utama dari serangan ini adalah pengguna di Rusia, dengan lebih dari 80% korban berasal dari negara tersebut. Malware ini didistribusikan melalui dokumen berbahaya yang mengeksploitasi kerentanan perangkat lunak, menunjukkan ancaman serius terhadap keamanan data.
Cloud Atlas, yang juga dikenal dengan nama lain seperti Clean Ursa dan Red October, telah aktif sejak 2014 dan terkenal karena taktiknya yang canggih. Malware terbaru mereka, VBCloud, didesain untuk mencuri data sensitif dari perangkat korban dan melibatkan rantai infeksi yang sangat kompleks.
Metode Distribusi Malware VBCloud
Cloud Atlas memanfaatkan phishing email sebagai metode utama untuk mendistribusikan malware VBCloud. Email ini berisi dokumen Microsoft Office yang telah dimodifikasi untuk memanfaatkan kerentanan editor formula (CVE-2018-0802). Ketika dokumen ini dibuka, file berbahaya akan diunduh dari server jarak jauh.
File yang diunduh biasanya berupa file template RTF yang dirancang untuk mengaktifkan eksekusi kode berbahaya. Dengan memanfaatkan kerentanan di Equation Editor, dokumen ini kemudian menjalankan file HTA (HTML Application) yang berisi muatan malware.
VBShower: Langkah Awal Infeksi
VBCloud tidak bekerja sendiri. Ia merupakan bagian dari rangkaian malware yang dimulai dengan VBShower. Setelah file HTA dijalankan, VBShower membuat beberapa file di lokasi tersembunyi pada sistem Windows korban. Salah satu file ini bertindak sebagai peluncur, sementara file lainnya dirancang untuk membersihkan jejak aktivitas berbahaya.
VBShower juga bertugas untuk mengunduh payload tambahan, termasuk VBCloud dan PowerShower, dari server Command-and-Control (C2). Dengan fungsi-fungsinya, VBShower memulai langkah pertama dalam pencurian data.
VBCloud dan PowerShower: Kombinasi Mematikan
Setelah VBShower berhasil dijalankan, tahap berikutnya dalam rantai infeksi adalah pengunduhan VBCloud dan PowerShower. Kedua malware ini bekerja bersama untuk melaksanakan serangan yang lebih luas.
Kemampuan Malware VBCloud
Cloud Atlas sebarkan malware VBCloud dengan fungsi utama untuk mencuri informasi sistem dan dokumen sensitif. Malware ini dirancang untuk:
- Mengumpulkan data tentang disk, termasuk jenis, kapasitas, dan ruang kosong.
- Mencari file dengan format tertentu, seperti DOC, DOCX, XLS, XLSX, PDF, dan RAR.
- Mengakses file yang terkait dengan aplikasi pesan seperti Telegram.
VBCloud menggunakan layanan penyimpanan cloud publik untuk berkomunikasi dengan server C2, membuatnya lebih sulit dideteksi. Malware ini diaktifkan melalui tugas terjadwal setiap kali pengguna masuk ke sistem, memungkinkan pencurian data secara terus-menerus.
Peran PowerShower dalam Serangan
Sementara VBCloud fokus pada pencurian data, PowerShower bertugas mengeksplorasi jaringan lokal korban. Malware ini juga dapat mengunduh skrip PowerShell tambahan untuk melakukan serangan lanjutan, seperti:
- Melakukan serangan brute force terhadap akun pengguna.
- Mendapatkan daftar grup administrator dan pengontrol domain.
- Mengekstraksi kebijakan akun dan kata sandi di komputer lokal.
Target Utama dan Dampak Serangan
Mayoritas korban dari serangan ini berada di Rusia, meskipun beberapa korban juga ditemukan di negara lain seperti Belarus, Kanada, dan Turki. Target utama dari Cloud Atlas yang sebarkan malware VBCloud adalah individu atau organisasi yang memiliki akses ke data sensitif, termasuk dokumen penting dan kredensial keamanan.
Serangan ini menunjukkan peningkatan dalam taktik dan strategi kelompok Cloud Atlas. Dengan memanfaatkan kerentanan lama di Microsoft Office, mereka berhasil menjebak korban yang kurang waspada terhadap ancaman ini.
Langkah Pencegahan dari Ancaman VBCloud
Menghadapi ancaman seperti Cloud Atlas sebarkan malware VBCloud, ada beberapa langkah yang dapat diambil untuk melindungi sistem dan data Anda:
1. Hindari Phishing Email
Phishing tetap menjadi metode utama dalam menyebarkan malware. Jangan klik tautan atau membuka dokumen dari email yang mencurigakan. Verifikasi sumber email sebelum mengambil tindakan lebih lanjut.
2. Perbarui Perangkat Lunak Secara Berkala
Eksploitasi kerentanan di Microsoft Office adalah salah satu langkah awal infeksi. Pastikan semua perangkat lunak diperbarui untuk menutup celah keamanan ini.
3. Gunakan Solusi Keamanan yang Komprehensif
Solusi keamanan modern dapat membantu mendeteksi aktivitas mencurigakan seperti komunikasi dengan server C2 atau pembuatan file tersembunyi.
4. Edukasi Pengguna
Kesadaran adalah kunci untuk mencegah serangan phishing. Berikan pelatihan keamanan siber kepada karyawan atau pengguna untuk mengenali tanda-tanda ancaman.
5. Monitor Aktivitas Sistem dan Jaringan
Pantau aktivitas jaringan Anda untuk mendeteksi lalu lintas mencurigakan yang mengarah ke server jarak jauh. Tindakan cepat dapat menghentikan serangan sebelum berkembang lebih jauh.
Kemunculan Cloud Atlas sebarkan malware VBCloud menyoroti ancaman baru dalam dunia keamanan siber. Dengan menggunakan metode canggih seperti phishing email dan eksploitasi kerentanan lama, mereka berhasil mencuri data penting dari korban mereka.
Langkah pencegahan yang tepat, seperti pembaruan perangkat lunak dan peningkatan kesadaran pengguna, sangat penting untuk melindungi diri dari ancaman ini. Sebagai individu maupun organisasi, kita harus tetap waspada terhadap taktik baru yang digunakan oleh kelompok seperti Cloud Atlas.
Dengan memahami ancaman dan mengambil langkah proaktif, kita dapat memperkuat pertahanan terhadap serangan siber yang terus berkembang. Jangan biarkan celah keamanan menjadi pintu masuk bagi ancaman seperti VBCloud ke sistem Anda.
