Operasi Shadowfall Runtuhkan Infrastruktur Eksploit Kit RIG

Penggunaan eksploit kit sebagai salah satu metode untuk melakukan penyebaran malware belakangan intensitasnya semakin meningkat termasuk peranannya dalam pendistribusian berbagai varian ransomware dalam banyak kasus kejahatan siber membuat berang banyak pihak. Di bawah koordinasi RSA Research sebuah operasi yang dijuluki Shadowfall digelar untuk memberantas salah satu eksploit kit yang paling sering digunakan oleh para penjahat siber, yaitu RIG EK.

RIG EK merupakan eksploit kit terbesar saat ini dan paling banyak menyebabkan kekacauan di dunia digital mengingat peran krusialnya membawa berbagai macam wabah berbahaya. Menjadikannya sebagai target utama untuk dimatikan dengan melucuti seluruh infrastrukturnya yang meliputi domain bayangan yang berjumlah ribuan. Operasi Shadowfall berhasil mengidentifikasi dan melakukan pemetaan infrastruktur RIG EK dan kerja keras tim siber ini menghasilkan daftar ratusan domain yang dikompromikan yang secara diam-diam dibajak oleh eksploit kit RIG.

Domain Bayangan

Penjahat siber di belakang eksploit kit RIG telah meretas atau menyusup ke akun hosting tersebut dan menggunakan sumber daya mereka untuk meng-host kode berbahaya di dalam subdomain tersembunyi, yang juga dikenal sebagai domain bayangan.

Karena sebagian besar situs yang dikompromikan ini berada di host infrastruktur GoDaddy, tim keamanan penyedia hosting dibawa masuk dan kemudian membantu peneliti untuk menghubungi pemilik domain dan membekukan akun yang disusupi. Walhasil puluhan ribu domain bayangan aktif berhasil dimatikan, memberikan pukulan telak pada operasi RIG EK. Periset menyakini bahwa para pelaku menggunakan kampanye phishing untuk memperoleh kredensial untuk mendapatkan akun, atau serangan brute force terhadap situs lemah yang diamankan.

Setelah mengambil alih situs ini, penyerang menciptakan subdomain baru namun mengarahkan DNS entry ke IP di bawah kendali mereka di penyedia bulletproof hosting, yaitu layanan hosting yang memberikan kelonggaran pelanggan mereka dalam jenis materi yang mereka unggah dan distribusikan. Tujuannya agar tidak masuk daftar hitam, pelaku merotasi domain bayangan secara berkala, menghapus subdomain yang lebih lama dan membuat yang baru.

Tim RSA mengatakan bahwa kelompok tersebut menciptakan rata-rata sekitar 450 domain bayangan per hari. Total, selama periode tersebut mereka memantau infrastruktur RIG EK, periset mengatakan bahwa kelompok tersebut mengambil alih 800 domain dan menciptakan sekitar 30.000 domain bayangan. Dalam skema besar operasi RIG EK, domain bayangan ini memainkan peran penting. Cara operasi EK RIG bekerja sederhana dan identik dengan bagaimana mereka mengandalkan semua eksploit kit beroperasi.

Cara Kerja RIG

Berikut beberapa tahapan kerja yang dilakukan eksploit kit RIG ketika mulai menginfeksi korban sampai dengan mengirim payload, sebagai berikut:

Semuanya dimulai saat pengguna mengakses situs yang disusupi, yang memuat kode berbahaya di dalam iframe tersembunyi yang berada tepat di situs dan tanpa penyamaran
Kode berbahaya ini mengalihkan korban membuat bingung dengan domain, mencoba menipu peneliti keamanan dalam arus pengalihan yang tak ada habisnya. Pengunjung yang dibajak akhirnya mendarat di server yang disebut Gates atau TDS (Traffic Distribution Systems), tempat kode berbahaya memfilter pengguna berdasarkan browser, sistem operasi, lokasi geografis, dan kriteria lainnya.
Gate atau pintu gerbang RIG EK hanya akan mengarahkan pengguna yang rentan ke apa yang disebut sebagai landing pages di mana eksploit kit RIG berjalan.
Di landing pages ini, eksploit kit yang tidak lebih dari sebuah aplikasi berbasis web, memuat kode berbahaya di browser pengguna, dikemas baik sebagai file Flash atau JavaScript.
Ketika dijalankan, kode eksploit mendapatkan pijakan di sistem pengguna, yang memungkinkannya menjalankan kode di mesin lokal, mengunduh final payload.

Domain bayangan sangat penting untuk tiga langkah pertama. Mereka biasanya menjadi host kode berbahaya, gate, atau landing pages. Dengan membawa puluhan ribu domain ini keluar dari infrastruktur mereka, maka dengan sendirinya RIG EK mengalami kemunduran besar, karena sama saja mematikan pergerakan mereka secara masif.
Pada tahun lalu, RIG EK disewakan ke berbagai kelompok cybercrime, yang menggunakannya untuk mengirimkan berbagai payload (malware). Berikut adalah ringkasan dari semua kampanye cybercrime yang memanfaatkan RIG.
Operasi PseudoDarkleech (PDL) yang secara garis besar menyebarkan ransomware Cerber. Operasi melambat atau mengalami penurunan aktivitas pada akhir April.
EITest menghadirkan trojan perbankan Dreambot dan keluarga ransomware Cerber, CryptoShield, Sage, dan Spora.
Desimal-IP adalah kampanye terbaru yang menyebarkan malware Smokeloader.
Seamless adalah saalah satu operasi eksploit kit RIG terbaru yang telah diamati untuk mengantarkan trojan Latentbot dan komponen ransomware dari trojan Ramnit.

 

Sumber berita:
https://www.bleepingcomputer.com