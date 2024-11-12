Per November 2024, IBM X-Force telah melacak operasi Hive0145 yang sedang berlangsung mengirimkan malware Strela Stealer kepada korban di seluruh Eropa – terutama Spanyol, Jerman, dan Ukraina. Email phishing yang digunakan dalam operasi ini adalah pemberitahuan faktur nyata, yang telah dicuri melalui kredentif email yang sebelumnya dieksfiltrasi. Strela Stealer dirancang untuk mengekstraksi kredensial pengguna yang disimpan di Microsoft Outlook dan Mozilla Thunderbird. Selama 18 bulan terakhir, kelompok tersebut menguji berbagai teknik untuk meningkatkan efektivitas operasinya. Hive0145 kemungkinan akan menjadi broker akses awal (IAB) yang termotivasi secara finansial, aktif sejak akhir 2022 dan berpotensi menjadi satu-satunya operator Strela Stealer. Kecepatan operasional berkelanjutan dari operasi Hive0145 menyoroti peningkatan risiko bagi calon korban di seluruh Eropa.
Mulai pertengahan April 2023, X-Force mulai melacak peningkatan aktivitas Hive0145. Hive0145 kemungkinan adalah broker akses awal (IAB) dengan motivasi finansial dan kemungkinan satu-satunya operator Strela Stealer. Strela Stealer adalah malware yang dirancang untuk mengekstraksi kredensial email pengguna yang disimpan di Microsoft Outlook dan Mozilla Thunderbird, yang berpotensi menyebabkan Penyusupan Email Bisnis (BEC). IAB secara rutin mengumpulkan kredensial dan data lain yang dijual kepada pelaku ancaman afiliasi yang berspesialisasi dalam eksploitasi jaringan korban. Namun, masih belum diketahui apakah Hive0145 memiliki jaringan mitra khusus untuk menjual akses yang diperoleh melalui operasi mereka.
Selama setahun terakhir, Hive0145 telah menunjukkan kecakapan dalam mengembangkan taktik, teknik, dan prosedur (TTP) untuk menargetkan korban di seluruh Eropa. Korban dari Italia, Spanyol, Jerman, dan Ukraina terus menerima lampiran yang dipersenjatai yang menarik korban untuk membuka file. Operasi pelaku memberi korban faktur atau tanda terima palsu dan sering kali pesan singkat dan umum yang mendesak untuk ditangani oleh korban. Setelah memuat file terlampir, korban tanpa disadari mengeksekusi rantai infeksi yang mengarah ke malware Strela Stealer.
Gambar 1 Operasi email bertema Banco Santander
Hive0145 melanjutkan pola penggunaan pesan generik serta faktur dan tanda terima palsu sepanjang paruh pertama tahun 2024. Namun, pada awal Juli 2024, kelompok ini mengadopsi pendekatan yang berbeda dan mulai mempersenjatai email curian dari entitas aktual di bidang keuangan, teknologi, manufaktur, media, e-commerce, dan industri lainnya. Tidak adanya kesederhanaan menunjukkan pergeseran Hive0145 dalam kemampuan operasi siber yang matang.
Pada Juli 2024, X-Force mengamati perubahan pada pertengahan operasi dalam email yang didistribusikan oleh Hive0145, di mana pesan pendek dan generik diganti dengan apa yang tampaknya merupakan email curian yang sah. Email phishing tersebut sama persis dengan email komunikasi faktur resmi dan, dalam beberapa kasus, masih secara langsung menyebut nama penerima asli. X-Force mampu memverifikasi bahwa email tersebut sebenarnya adalah pemberitahuan faktur asli dari berbagai entitas di bidang keuangan, teknologi, manufaktur, media, e-commerce, dan industri lainnya. Sangat mungkin bahwa grup tersebut mendapatkan email melalui kredensial yang sebelumnya dieksfiltrasi dari operasi mereka sebelumnya.
Konsep menggunakan email curian bukanlah hal baru dan digunakan secara luas oleh grup Emotet dan distributor malware seperti Hive0118 (alias TA577), TA551, dan TA570. Dalam operasinya, mereka memanfaatkan pembajakan utas, di mana utas baru ke email curian digunakan sebagai cara untuk meningkatkan tampilan legitimasi. Email yang dimodifikasi dikirim ke kontak yang sesuai dari korban sebelumnya, membuat email terakhir terlihat seperti balasan ke email yang dicuri, sehingga membajak utas email. Teks yang ditambahkan distributor ke email sering kali merupakan balasan singkat, mendesak korban untuk melihat lampiran atau URL yang disertakan.
Teknik yang digunakan oleh Hive0145 berbeda dengan pembajakan utas karena alih-alih menambahkan pesan balasan ke email yang dicuri, konten asli sebagian besar tetap tidak dimodifikasi dan hanya merupakan lampiran yang dialihkan untuk menyertakan muatan berbahaya menggunakan nama file asli (tanpa ekstensi asli). Di dalam badan email, Hive0145 juga menggantikan bagian lokal dan domain pengirim email asli dengan korban phishing baru untuk menyesuaikan email secara khusus. Email dengan lampiran yang dibajak kemudian dikirim dalam operasi phishing massal. Hive0145 juga tampaknya mempertimbangkan dengan cermat email yang dibajak dengan hanya memilih email yang menyebutkan faktur dan berisi lampiran. X-Force telah mengamati teknik pembajakan lampiran sejak pertengahan 2024 dalam operasi yang menargetkan penutur bahasa Jerman, Spanyol, dan Ukraina.
Gambar 2 Contoh email asli curian dari faktur Deutsche Bahn dengan lampiran yang dibajak
Operasi Juli 2024 mulai mengungkapkan volume pengiriman email yang rendah sepanjang minggu 8 Juli. Hive0145 tampaknya beristirahat sejenak sebelum kembali dengan operasi yang lebih besar pada minggu 22 Juli, diikuti oleh periode tidak aktif. Mulai pertengahan Oktober 2024, Hive0145 kembali dengan operasi pembajakan lampiran meluas yang menargetkan korban dari Spanyol, Jerman, dan Ukraina. Tidak seperti operasi bulan Juli yang singkat, yang satu ini terus mengirimkan sejumlah besar email dengan mayoritas dikirim selama hari kerja.
Gambar 3 Operasi akhir Oktober 2024 yang sedang berlangsung
Email yang dicuri di industri keuangan, teknologi, manufaktur, media, e-commerce, dan lain-lain, terus dipersenjatai pada awal November 2024, dalam salah satu operasi Hive0145 terbesar yang pernah diamati hingga saat ini. Dalam operasi yang sedang berlangsung, korban menerima arsip yang berisi file JavaScript yang sangat dikaburkan, yang mengunduh dan mengeksekusi Strela Stealer DLL yang dienkripsi. Pada 7 November 2024, Hive0145 memasukkan penutur bahasa Ukraina dalam operasi yang sedang berlangsung, yang menandakan perkembangan yang signifikan dibandingkan dengan viktimologi yang diamati sebelumnya.
Gambar 4 Contoh email asli yang dicuri dari faktur yang menargetkan Ukraina
Peningkatan volume pengiriman Hive0145 menggunakan pembajakan lampiran dengan pasokan konsisten email yang baru dicuri mungkin menunjukkan bahwa kelompok tersebut telah mengadopsi otomatisasi untuk memanen, mempersenjatai, mengemas, dan mengirim email phishing mereka. Kelompok ini terus menunjukkan preferensi untuk eksploitasi luas korban dari Spanyol, Jerman, dan Ukraina di seluruh Eropa.
Hive0145 menonjol di antara distributor malware lainnya karena tingkat upaya mereka untuk mengadopsi metode yang semakin canggih dalam mengirimkan Strela Stealer. Tingkat kecanggihan mencerminkan distributor massal malware lainnya yang sukses seperti Emotet, Pikabot, dan Qakbot, yang sering menyebabkan penerapan ransomware. Di bawah ini adalah perincian teknik penting yang digunakan oleh Hive0145 dari waktu ke waktu, beberapa di antaranya diuji secara singkat dan lainnya diadopsi sepenuhnya.
Operasi Strela Stealer pertama yang diamati oleh X-Force menggunakan file poliglot, seperti yang pertama kali dilaporkan dalam blog oleh DCSO (Deutsche Cyber-Sicherheitsorganisation) pada akhir 2022. Semua file ini memiliki beberapa format yang valid dan dapat diurai oleh aplikasi yang berbeda. File yang sama dapat dirender sebagai HTML untuk menampilkan faktur umpan serta DLL valid yang menerapkan Strela Stealer. Ini adalah teknik yang agak tidak biasa untuk mencoba melewati solusi keamanan.
Beberapa operasi sepanjang tahun 2023 menggunakan sertifikat penandatanganan kode yang valid untuk biner Strela Stealer yang berbahaya. Misalnya, operasi yang menargetkan korban berbahasa Spanyol sejak April 2023 berisi muatan dengan sertifikat valid yang ditandatangani oleh Tecfinance Informatica E Projetos De Sistemas Ltda, sebuah perusahaan perangkat lunak di Brasil.
Gambar 5 Sertifikat perusahaan Brasil yang digunakan dalam operasi 2023
Pada 5 Mei 2024, X-Force mengambil langkah-langkah untuk menginformasikan berbagai pihak terkait tentang temuan tersebut dan sertifikat tersebut telah dicabut.
Sebagai catatan, operasi yang menargetkan Italia pada pertengahan 2023 menggunakan sertifikat yang berbeda:
Gambar 6 Sertifikat curian lain yang digunakan pada pertengahan 2023 untuk menargetkan korban Italia
Operasi phishing Strela Stealer juga menyesuaikan nama file untuk menyertakan nama domain yang ditargetkan. Nama file sering identik dengan nama organisasi atau perusahaan, kemungkinan sebagai upaya untuk menghasilkan keaslian. Contoh di bawah ini adalah email phishing dari tahun 2023 yang menyamar sebagai faktur atau tanda terima pembayaran.
Gambar 7 Operasi email bertema Factura
Seperti yang ditunjukkan email ini, lampiran adalah file ZIP terenkripsi dengan kata sandi yang sedikit berbeda di antara setiap email. Pelaku ancaman mengenkripsi lampiran email karena penyaringan email dasar dan solusi sandbox sering kali tidak dapat memeriksa atau meledakkan file tersebut.
Strela Stealer juga menggunakan ekstensi yang tidak biasa untuk file PE mereka yang dapat dieksekusi seperti .com, alih-alih .exe:
Ini menggunakan kondisi dalam sistem operasi Microsoft Windows di mana tiga ekstensi berbeda dapat digunakan untuk menandai file sebagai dapat dieksekusi: .exe, .com, dan .pif.
Jika konten adalah file PE yang dapat dieksekusi, Microsoft Windows akan menjalankannya secara otomatis setelah dibuka. Dengan menggunakan ekstensi yang lebih jarang dan tidak dikenal, operasi dapat menghindari solusi antivirus sederhana atau kecurigaan korban. Operasi sebelumnya dengan muatan yang sama juga diamati memanfaatkan ekstensi .pif .
Selain arsip ZIP yang dilampirkan langsung dengan file dapat dieksekusi yang berbahaya, operasi Strela Stealer juga sering menggunakan skrip yang dikaburkan seperti Batch, JavaScript, atau PowerShell untuk mengunduh atau menghapus muatannya.
Operasi sepanjang tahun 2024 sangat mengandalkan skrip yang dikaburkan ini untuk menjalankan perintah PowerShell untuk terhubung ke server WebDAV serta mengunduh dan mengeksekusi DLL terenkripsi:
Server praproduksi WebDAV menghosting sejumlah besar DLL, dengan nama dan hash yang berbeda. Mereka tampaknya telah dibangun menggunakan pengenkripsi yang diidentifikasi X-Force sebagai “Stellar Crypter,” yang kemungkinan telah digunakan secara eksklusif oleh Hive0145 setidaknya sejak Mei 2023. Biner berbahaya yang diidentifikasi sebagai “Stellar Loader” berisi muatan Strela Stealer terenkripsi.
Stellar Loader adalah pengenkripsi yang telah digunakan setidaknya sejak April 2023 dan sebagian besar merupakan prekursor yang mengikuti muatan Strela Stealer. Sampel Stellar biasanya sangat dikaburkan dan menggunakan teknik seperti pengaburan alur kontrol serta menyertakan sejumlah besar instruksi sampah untuk menghambat analisis dan pembuatan tanda tangan. Muatan Stellar dienkripsi XOR dan disimpan di bagian .data dari biner Stellar loader. Data muatan terenkripsi didahului oleh kunci XOR yang, dalam sampel terbaru, hanya terdiri dari huruf besar dan kecil dan panjangnya bisa mencapai ribuan karakter.
Setelah eksekusi, Stellar Loader mendekripsi data muatan menggunakan XOR dan kunci yang tersimpan. Proses dekripsi mungkin juga melibatkan putaran tambahan XOR menggunakan kunci satu byte yang tertanam dalam kode. Sebagai bagian dari pengaburan kode Stellar Loader, algoritma dekripsi dalam kode sering diperluas untuk mencakup ratusan operasi. Namun, sebagian besar operasi ini saling membatalkan dan apa yang tampak sebagai algoritma kompleks dapat turun menjadi operasi XOR sederhana. Tangkapan layar di bawah ini menunjukkan versi Stellar Loader dengan pengaburan minimal, di mana struktur kode loader dan algoritma dekripsi dapat dilihat dengan mudah.
Dalam versi loader yang lebih baru, data muatan terenkripsi diikuti oleh blok terenkripsi tambahan yang berisi daftar nama API yang diperlukan oleh kode loader, seperti VirtualAlloc. Loader mendekripsi blok ini menggunakan kunci yang sama seperti muatan, tetapi tanpa XOR satu byte tambahan. Loader kemudian dapat menggunakan nama API di blok untuk mengambil alamat API yang sesuai.
Setelah daftar muatan dan API didekripsi, Stellar mengalokasikan ruang dalam memori menggunakan VirtualAlloc dan memetakan PE muatan di alamat yang dialokasikan. Kemudian Stellar melakukan langkah-langkah pemuatan PE standar, seperti memuat impor dan memproses bagian relokasi apa pun (.relocs), dan terakhir mengeksekusi muatan pada alamat titik masuknya.
Strela Stealer agak berubah dalam fungsionalitas selama dua tahun terakhir. Dimulai dengan versi awal yang dilaporkan oleh DCSO pada akhir 2022, tujuan utama stealer adalah untuk mengeksfiltrasi kredensial email dari dua klien email umum: Microsoft Outlook dan Thunderbird. Ini konsisten di semua varian, namun varian terbaru mendukung lebih banyak kunci registri untuk mencari kredensial Microsoft Outlook daripada versi sebelumnya.
Strela Stealer menjalankan dua fungsi yang bertugas mencuri kredensial dari dua klien email:
Klien email
Thunderbird
Microsoft Outlook
Lokasi
Sistem file
Pendaftaran
Jalur
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
Untuk Outlook, Strela Stealer khususnya mencari nilai registri:
Data diformat dan diawali dengan string “FF” atau “OL” masing-masing untuk data Thunderbird dan data Outlook. Selanjutnya, data juga dienkripsi dengan kunci XOR statis, yang mewakili string GUID seperti:
Kemudian, Strela Stealer mengirimkan permintaan POST untuk setiap klien email ke server C2 yang tertanam dalam kode:
Respons didekripsi melalui kunci XOR di atas yang sama. Strela Stealer terus mengirimkan permintaan POST dalam interval 1 detik sampai permintaan gagal atau menerima kembali string “KH” (versi 2023), “ANTIROK” (versi 2024), atau “CHOLLIMA” (versi Nov. 2024).
Pada Oktober 2024, Strela Stealer juga menyertakan dua fungsi eksfiltrasi lainnya. Yang pertama mengumpulkan informasi sistem pada host dan menulisnya ke file melalui perintah:
Fungsi eksfiltrasi kedua menggunakan objek COM untuk mencantumkan daftar aplikasi yang diinstal dari “AppsFolder” (folder virtual, ditampilkan sebagai “Aplikasi”) pada mesin korban.
File yang ditulis serta daftar aplikasi yang diinstal dibaca dan dienkripsi sebelum eksfiltrasi dengan cara yang sama seperti file lain. Mereka dikirim ke server C2, masing-masing dengan pengidentifikasi “SI” dan “LA”.
Strela Stealer mulai menerapkan pemeriksaan bahasa dengan memverifikasi bahasa keyboard pada host korban. Versi sepanjang 2024 hanya berjalan di host dengan salah satu bahasa keyboard berikut:
Pada awal November, Hive0145 juga mulai mendistribusikan email Ukraina curian dan sedikit memodifikasi logika verifikasi bahasa, menambahkan bahasa Ukraina (0x422) ke daftar tata letak keyboard. Selain itu, pengembang beralih menggunakan API GetKeyboardLayoutList untuk mencakup semua tata letak keyboard yang diinstal. Jika tidak ada bahasa yang cocok, Strela Stealer memiliki pemeriksaan sekunder yang membandingkan hasil lokal default pengguna dari GetLocaleInfoA dengan “AU” dan “UA”, yang merupakan kode untuk Australia dan Ukraina. Ada kemungkinan bahwa pengembang tidak yakin dengan pembacaan nilai yang dihasilkan dalam urutan tertentu dan tidak berniat untuk menargetkan Australia. Secara keseluruhan, perubahan ini meningkatkan ruang lingkup mesin yang tersedia untuk infeksi Strela Stealer.
Sebelumnya malware akan menampilkan pesan kesalahan yang tidak mencolok kepada pengguna setelah dijalankan agar tidak menimbulkan kecurigaan. Kesalahan ini akan menyatakan bahwa file rusak dan tidak dapat dibuka dalam bahasa yang tergantung pada keyboard yang diinstal. Versi terbaru menggunakan pesan kesalahan yang lebih universal “Err 100", yang ditampilkan 5 detik setelah awal eksekusi.
Pada Juni 2023, X-Force mengamati satu operasi Hive0145 yang menargetkan Italia yang mengirimkan varian Strela Stealer baru yang sepenuhnya ditulis ulang di .NET. Mirip dengan operasi sebelumnya, operasi ini juga menggunakan sertifikat penandatanganan kode yang valid. Mengimplementasikan kembali malware dalam bahasa yang berbeda menunjukkan upaya yang signifikan oleh pelaku ancaman. Untuk menyembunyikan string, nama fungsi, dan alur kontrol, pengembang menggunakan “Aldaray Rummage Obfuscator” komersial untuk .NET. Tangkapan layar di bawah ini menunjukkan kode yang digunakan untuk mengakses dan menghapus perlindungan kredensial IMAP dari kunci registri Microsoft Outlook.
Khususnya, alat untuk mengaburkan komersial memang menyertakan markah air untuk lisensi, yang diamati sebagai:
Contoh di atas menampilkan pesan kesalahan berikut dalam bahasa Italia:
Fokus Hive0145 pada pemanenan kredensial email membedakannya dari operator pencuri atau malware botnet lainnya, yang sering dimanipulasi dan menargetkan jangkauan kredensial dan data yang lebih luas, atau memfasilitasi muatan lanjutan yang ditujukan untuk akses awal. Penggunaan email curian oleh Hive0145 untuk pembajakan lampiran merupakan indikator bahwa sebagian dari kredensial email yang dicuri dapat digunakan untuk memanen email yang sah untuk distribusi lebih lanjut. Baik email yang dicuri maupun yang dibuat oleh pelaku yang digunakan oleh Hive0145 sebagian besar menampilkan faktur sebagai tema, yang mengarah ke potensi motivasi keuangan. Ada kemungkinan bahwa Hive0145 dapat menjual email curian ke mitra afiliasi untuk tujuan penyusupan email bisnis lebih lanjut.
Hive0145 adalah pelaku ancaman penjahat siber yang matang dengan cepat dan berusaha menginfeksi korban dengan tujuan mendapatkan kredensial email yang valid. Pengamatan menunjukkan bahwa pencurian kredensial email melalui operasi awal menyebabkan pencurian lebih lanjut dari email valid yang digunakan dalam operasi pembajakan lampiran berikutnya. Malware Stela Stealer terus menjadi alat yang efektif bagi Hive0145 untuk mengekstraksi kredensial email.
Berbagai macam industri yang ditiru oleh operasi email Hive0145 meningkatkan potensi risiko berbagai organisasi komersial di seluruh Eropa untuk menjadi target. Sebagai catatan, organisasi di wilayah berbahasa Italia, Spanyol, Jerman, atau Ukraina mungkin berisiko lebih cepat terhadap operasi Hive0145. X-Force merekomendasikan kewaspadaan yang lebih tinggi seputar lampiran email yang diterima dan peninjauan cermat pada jenis file yang diperkirakan dikirimkan.
X-Force merekomendasikan organisasi untuk:
Indikator
Jenis Indikator
Konteks
03853c56bcfdf87d71ba
SHA256
Stellar Loader (Okt 2024)
e50bea80513116a1988822
SHA256
Stellar Loader (Mei 2024)
2cac42735170cd3f67111807
SHA256
Stellar Loader - pengaburan minimal (Jan 2024)
9a032497b82c3db8146cb6
SHA256
Muatan Strela Stealer
e4a7ad38aaea4bd27c32c57
SHA256
Muatan Strela Stealer
2f7ac330e100b577748bb34
SHA256
Stellar Loader (November 2024)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
Varian Strela Stealer .NET
