APT BlueNoroff Bypass Mark-of-the-Web (MOTW)

Bypass Mark of the Web - Ketika pengguna membuka dokumen kantor yang dikirim melalui email atau diunduh dari situs web, Microsoft Office biasanya akan menjalankannya dalam mode protected view. Ini dimungkinkan berkat mekanisme Mark-of-the-Web (MOTW), salah satu sistem perlindungan default Windows. Mekanisme ini menandai file yang berasal dari internet agar aplikasi mengenali sumbernya dan memperingatkan pengguna akan potensi bahaya.

Namun, bergantung sepenuhnya pada MOTW untuk keamanan adalah langkah yang berisiko. Penjahat siber kini mengembangkan teknik untuk melewati mekanisme tersebut. Para peneliti, saat mempelajari alat yang digunakan oleh grup BlueNoroff (bagian dari Lazarus Group), menemukan metode baru yang mereka gunakan untuk mengelabui sistem operasi.

Bagaimana BlueNoroff Membypass MOTW

Mekanisme Mark-of-the-Web bekerja dengan menambahkan atribut "from the internet" ke file yang diunduh oleh pengguna atau program. Atribut ini membuat file dikenali sebagai berasal dari sumber eksternal. Namun, tidak semua file berhasil mendapatkan atribut ini, terutama jika file tersebut disampaikan melalui metode tidak langsung seperti arsip.

Grup BlueNoroff kini bereksperimen dengan format file baru untuk menyebarkan dokumen berbahaya. Beberapa format yang digunakan adalah:

• .iso (optical disc image), format yang biasa digunakan untuk menyimpan salinan disk.
• .vhd (virtual hard disk), yang biasanya memuat salinan virtual dari sebuah hard drive.

Kedua format ini digunakan untuk menyembunyikan muatan berbahaya, termasuk dokumen palsu dan script jahat, di dalam gambar atau hard drive virtual. Hal ini memungkinkan mereka melewati atribut keamanan MOTW, memberikan celah bagi serangan mereka.

Siapakah BlueNoroff dan Apa yang Mereka Cari?

BlueNoroff adalah subkelompok dari Lazarus Group yang dikenal dengan motif keuangan dibandingkan spionase. Grup ini telah mendaftarkan banyak domain yang menyerupai perusahaan modal ventura, bank, dan institusi keuangan lainnya, terutama yang berbasis di Jepang. Target utama mereka adalah perusahaan yang berfokus pada cryptocurrency dan sektor keuangan lainnya.

Salah satu operasi terkenal mereka adalah SnatchCrypto, yang bertujuan mencuri dana digital dari dompet cryptocurrency korban. Serangan ini tetap menggunakan pendekatan yang serupa:

1. Mengirim dokumen umpan untuk membujuk korban.
2. Memasang backdoor pada perangkat korban untuk mempermudah akses berulang.

Sementara Jepang menjadi target utama, korban juga ditemukan di Uni Emirat Arab, dan grup ini diperkirakan aktif di berbagai wilayah dunia.

Bagaimana Cara Melindungi Perusahaan Anda?

Mekanisme bawaan seperti MOTW tidak cukup untuk menangkal ancaman canggih seperti BlueNoroff dan grup APT lainnya. Berikut adalah langkah-langkah yang direkomendasikan oleh para ahli untuk meningkatkan keamanan perusahaan:

1. Gunakan Solusi Keamanan Modern

Instal perangkat lunak keamanan canggih pada semua perangkat kerja. Ini dapat mencegah eksekusi script berbahaya yang tersembunyi dalam file berbahaya.

2. Edukasi Karyawan

Berikan pelatihan rutin kepada karyawan untuk meningkatkan kesadaran keamanan siber tentang ancaman siber terkini, termasuk serangan phishing dan social engineering.

3. Manfaatkan Teknologi Deteksi dan Respon

Gunakan solusi keamanan kelas EDR (Endpoint Detection and Response) atau layanan MDR (Managed Detection and Response) untuk mendeteksi aktivitas berbahaya lebih dini. Teknologi ini dapat menghentikan serangan sebelum kerusakan terjadi.