YELLOW RAT
During a regular IT security check at GlobalTech Industries, abnormal network traffic was detected from multiple workstations. Upon initial investigation, it was discovered that certain employees' search queries were being redirected to unfamiliar websites. This discovery raised concerns and prompted a more thorough investigation. Your task is to investigate this incident and gather as much information as possible.
Category: Threat Intel || Level: EASY || Tools: Virus Total, Red Canary, Malpedia
Malware Hash yang diberikan adalah "30e527e45f50d2ba82865c5679a6fa998ee0a1755361ab01673950810d071c85"
Setelah itu melakukan pencarian di Virus Total dengan menggunakan Hash/SHA256 tersebut. Hasilnya adalah 60/72 Security Vendors menandainya sebagai file berbahaya yang memiliki nama file "111bc461-1ca8-43c6-97ed-911e0e69fdf8.dll" dan di kategorikan sebagai Trojan dan Dropper
Trojan: Malware yang menyamar sebagai software sah untuk mengecoh pengguna.
Dropper: Digunakan untuk menginstal malware lain di sistem yang terinfeksi.
Pada TAB "Associations", Salah satu "Known Threat" menyebut nama "Yellow Cockatoo RAT"
Kemudian mengarah ke sumber yang menyebutkan bahwa Yellow Cockatoo adalah nama yang diberikan oleh Red Canary untuk aktivitas berbahaya yang melibatkan eksekusi .NET Remote Access Trojan (RAT). Malware ini berjalan di memori dan bertugas menurunkan payload berbahaya lainnya. Red Canary telah memantau ancaman ini sejak Juni 2020, dengan target yang mencakup berbagai industri dan ukuran perusahaan.
Pada Tab Details di Virus Total, diketahui bahwa malware tersebut dikompilasi pada 24 September 2020 pukul 18:26, yang memberikan wawasan tentang waktu pengembangan dan potensi distribusinya. Malware ini pertama kali disubmit ke VirusTotal pada 15 Oktober 2020 pukul 02:47, hampir sebulan setelah kompilasi, yang mengindikasikan bahwa malware tersebut mungkin telah ada tanpa terdeteksi selama periode tersebut.
Perbedaan waktu antara kompilasi dan submission ini dapat membantu dalam memahami lamanya potensi eksposur serta menentukan langkah-langkah respons yang tepat.
Sedangkan pada artikel RED CANARY dijelaskan bahwa, untuk mempertahankan keberadaannya (malware), digunakan perintah PowerShell yang membuat file .lnk dan .dat seperti solarmarker.dat yang dibuat pada direktori APPDATA
Malware Yellow Cockatoo berkomunikasi dengan server Command-and-Control (C2) melalui URL hxxps://gogohid[.]com/gate?q=ENCODED_HOST_INFO. Di sini, malware mengirimkan informasi host yang dikumpulkannya dan menerima perintah pertama. Setelah itu, malware terus mengambil dan mengeksekusi perintah dalam loop tak terbatas (infinite loop), dan melaporkan status eksekusi ke hxxps://gogohid[.]com/success?i=ENCODED_CMD_AND_HOST_ID_INFO.
