Penelitian tim X-Labs kami menemukan dan mengidentifikasi ransomware sederhana yang menargetkan bisnis-bisnis di Turki. Vektor serangan dimulai dari lampiran PDF yang dikirim melalui email mencurigakan, berasal dari domain “internet[.]ru”. Tautan yang disematkan dalam PDF tersebut memungkinkan pengunduhan payload exe tahap berikutnya saat pengguna berinteraksi. Ransomware ini mengenkripsi file dengan ekstensi “.shadowroot”. Saat ini, ransomware ini secara aktif menargetkan berbagai bisnis di seluruh dunia, termasuk sektor kesehatan dan belanja online.
Akses Awal (Initial Access):
PDF ini berisi tautan URL yang mengunduh payload exe lanjutan dari akun GitHub yang telah dikompromikan:
hxxps://raw[.]githubusercontent[.]com/kurumsaltahsilat/detayfatura/main/PDF.FaturaDetay_202407.exe
Eksekusi Payload Tahap Berikutnya:
File unduhan tersebut adalah binary 32-bit yang dikompilasi dengan Borland Delphi 4.0. Dalam analisis exe-nya, terlihat bahwa file ini men-drop payload lanjutan ke:
- C:\TheDream\RootDesign.exe
- C:\TheDream\Uninstall.exe
- C:\TheDream\Uninstall.ini
Payload RootDesign.exe dilindungi dengan dotnet confuser core versi 1.6.
Kita dapat melihat class dengan nama acak berisi karakter khusus dan semua nama fungsi yang sudah di-obfuscate. Teknik ini umum digunakan pembuat malware untuk menghindari deteksi oleh perangkat keamanan tradisional, dan merupakan alat open-source untuk proteksi aplikasi .NET.
Setelah men-drop payload, PDF.FaturaDetay_202407.exe menjalankan PowerShell tersembunyi untuk mengeksekusi RootDesign.exe dalam mode tersembunyi.
Perintah yang digunakan:
“C:\Windows\System32\cmd.exe” /c PowerShell.exe -windowstyle hidden powershell -c C:\TheDream\RootDesign.exe
Mutant/Mutex yang Dibuat:
- Local\ZonesCacheCounterMutex
- Local\ZonesLockedCacheCounterMutex
- mtx
Aktivitas Malware:
File yang di-drop ini akan membuat thread rekursif dari dirinya sendiri di memori dengan PID baru, dan mulai melakukan enkripsi.
Aktivitas setiap thread-nya dicatat dalam file log C:\TheDream\log.txt dengan menambahkan komentar baris baru “ApproveExit.dot”.
Thread-thread rekursif ini juga menyebabkan peningkatan konsumsi memori.
Setelah itu, malware mulai mengenkripsi berbagai file penting sistem (non-PE dan file Office), mengganti nama file tersebut dengan ekstensi “.ShadowRoot”, dan men-drop file readme.txt.
Isi Readme.txt:
File ini menampilkan catatan tebusan dalam bahasa Turki, dan file terenkripsi ditaruh di desktop.
Tidak ditemukan informasi langsung tentang alamat dompet kripto, namun korban diarahkan melalui readme untuk menghubungi alamat email yang disediakan guna melakukan pembayaran dan mendapatkan alat dekripsi.
Perilaku Tambahan:
Kami mengamati proses rekursif yang dibuat sendiri oleh RootDesign.exe, yang menyebabkan file dienkripsi beberapa kali dan meningkatkan konsumsi memori.
Malware juga men-drop banyak salinan file terenkripsi di direktori root.
Ekstensi file bahkan dapat ditambahkan beberapa kali (misalnya .docx.shadowroot.shadowroot).
Di dalam kode, ditemukan penggunaan class .NET AESCryptoServiceProvider, yang umum digunakan untuk enkripsi di aplikasi .NET dan skrip PowerShell.
Komunikasi C2 (Command & Control):
Malware melakukan koneksi SMTP ke server:
smtp[.]mail[.]ru (port 587)
Kemudian mengirimkan informasi detail melalui layanan email ke akun mencurigakan:
username: kurumsal[.]tasilat @internet[.]ru
Domain ini juga digunakan sebagai pengirim email.
Kesimpulan:
Ransomware ini tampaknya menargetkan bisnis di Turki dengan mengirimkan faktur PDF palsu yang mencurigakan dan mendorong pengguna untuk mengklik tautan berbahaya. Ini mengunduh payload Delphi mencurigakan dan men-drop binary .NET yang dilindungi dotnet confuser untuk menjalankan aktivitas lebih lanjut. File korban dienkripsi dengan ekstensi “.ShadowRoot” dan malware terhubung ke server email SMTP asal Rusia.
Ransomware ini tampaknya masih dasar (rudimentary), kemungkinan dikembangkan oleh pelaku yang belum berpengalaman, dan hanya menunjukkan fungsionalitas dasar.
Pernyataan Perlindungan (Protection Statement):
Pelanggan Forcepoint terlindungi dari ancaman ini di beberapa tahapan serangan:
- Tahap 2 (Umpan/Lure) – Lampiran PDF berbahaya diidentifikasi dan diblokir.
- Tahap 5 (Dropper File) – File dropper ditambahkan ke database berbahaya Forcepoint dan diblokir.
- Tahap 6 (Call Home) – Kredensial C2 diblokir.
Indikator Kompromi (IOCs)
Hash Payload:
CD8FBF0DCDD429C06C80B124CAF574334504E99A
1C9629AEB0E6DBE48F9965D87C64A7B8750BBF93
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forcepoint indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!