Kampanye Berbahaya APT Menargetkan Entitas Asia

  • Whatsapp
Kampanye Berbahaya APT Menargetkan Entitas Asia

 

Para peneliti dari Kaspersky telah melaporkan bahwa ratusan individu dari Asia Tenggara, termasuk Myanmar dan pemerintah Filipina, secara terus menerus dan ekstensif menjadi sasaran aktivitas ancaman persisten tingkat lanjut (APT).
Dalam analisis serangan cyber-spionage oleh LuminousMoth terhadap berbagai otoritas Asia yang dimulai setidaknya Oktober 2020, analis Kaspersky menemukan 100 korban di Myanmar dan 1400 di Filipina. Cluster aktivitas APT ini, yang diidentifikasi oleh Kaspersky sebagai LuminousMoth, dikaitkan dengan Grup Ancaman berbahasa Mandarin HoneyMyte dengan keyakinan sedang hingga tinggi.
Tautan yang ditemukan, termasuk koneksi infrastruktur jaringan seperti server perintah-dan-kontrol untuk penyebaran muatan suar Cobalt Strike oleh kelompok dan terkait taktis, teknik, dan prosedur (TTP). Mereka juga dilaporkan meluncurkan serangan skala besar pada populasi target yang substansial, yang ditujukan hanya untuk mempengaruhi sebagian kecil orang yang sesuai dengan minat mereka.
“Skala besar serangan itu cukup langka. Menarik juga bahwa kami telah melihat jauh lebih banyak serangan di Filipina daripada di Myanmar,” kata peneliti keamanan Kaspersky GReAT Aseel Kayal. “Ini bisa jadi karena penggunaan USB drive sebagai mekanisme penyebaran atau mungkin ada vektor infeksi lain yang belum kami ketahui digunakan di Filipina,” tambahnya lebih lanjut.
Pelaku ancaman menggunakan email spear-phishing dengan tautan berbahaya dari Dropbox yang mendistribusikan arsip RAR yang disamarkan seperti dokumen Word dan menggabungkan muatan malware untuk mengakses sistem yang mereka targetkan.
Malware mencoba untuk pindah ke sistem lain melalui drive USB yang dapat dilepas, bersama dengan file yang dicuri dari PC yang diretas sebelumnya, setelah dilakukan pada perangkat korban.
Malware dari Luminous Moth mencakup alat pasca operasi yang dapat digunakan operator di jaringan korban mereka untuk gerakan selanjutnya: satu disamarkan dalam bayang-bayang perangkat lunak Zoom palsu, sementara yang lain dimaksudkan untuk mencuri cookie browser dari Chrome.
Pelaku ancaman mengekstrak data dari perangkat yang disusupi ke server komando dan kontrol mereka (C2), yang dalam beberapa situasi telah digunakan untuk menghindari identifikasi oleh outlet berita.
Malware mencoba menginfeksi sistem lain dengan mendistribusikan drive USB yang dapat dilepas setelah diunduh dari satu sistem. Jika drive ditemukan, malware membuat folder tersembunyi di drive tempat semua data korban dan file executable berbahaya dipindahkan.
“Kelompok aktivitas baru ini mungkin sekali lagi menunjukkan tren yang telah kita saksikan selama tahun ini: pelaku ancaman berbahasa China memperlengkapi kembali dan memproduksi implan malware baru dan tidak dikenal,” tambah peneliti keamanan senior Kaspersky GReAT, Mark Lechtik.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *