Operasi Mata-mata Peluncuran APT China

  • Whatsapp
Operasi Mata-mata Peluncuran APT China
Operasi Mata mata Peluncuran APT China
Twisted Panda: APT China Meluncurkan Operasi Mata-mata Melawan Institut Pertahanan Rusia

Dalam sebuah analisis yang diterbitkan baru-baru ini oleh para spesialis di Check Point Research, sebuah kampanye mata-mata baru ditemukan, dijuluki “Twisted Panda”. Operasi mata-mata ini terutama menargetkan dua lembaga pertahanan Rusia dan fasilitas penelitian di Belarus.

Dalam perjalanan kampanye spionase yang berlangsung selama beberapa bulan, kampanye ini merupakan bagian dari operasi yang lebih besar yang disponsori negara China.

Berbagai tahapan dan muatan berbahaya telah dikerahkan oleh aktor ancaman dalam kampanye ini. Selain itu, ada juga email phishing yang berisi informasi terkait sanksi yang telah dikirim ke entitas Rusia di dalam Rostec Corporation, konglomerat pertahanan Rusia.

Invasi ke Ukraina dimanfaatkan oleh kelompok APT China lainnya, Mustang Panda, untuk menargetkan organisasi Rusia pada saat yang sama.

Ada kemungkinan bahwa Twisted Panda adalah bagian dari jaringan mata-mata yang sama dengan Mustang Panda atau Panda Batu, alias APT10, kelompok mata-mata lain yang disponsori Beijing.

Rantai infeksi

Baru-baru ini pada 23 Maret, beberapa lembaga penelitian Rusia yang berafiliasi dengan industri pertahanan menerima email berbahaya.

Sebuah dokumen berbahaya dilampirkan ke email dengan subjek “Daftar orang di bawah sanksi AS karena menyerang Ukraina”, yang dapat diakses melalui tautan ke situs web Kementerian Kesehatan Rusia palsu minzdravros[.]com.

Email dengan subjek “Penyebaran Patogen Mematikan AS di Belarus” dikirim ke entitas yang tidak dikenal di Minsk, Belarus pada hari yang sama.

Sementara semua dokumen yang dilampirkan pada email ini dibuat agar tampak seperti dokumen resmi, dengan lambang dan gelar resmi Kementerian Kesehatan Rusia.

Template diunduh dari URL untuk setiap dokumen dalam format serupa yang dapat dengan mudah diekspor. Beberapa fungsi API diimpor ke template eksternal ini dari kernel32, melalui kode makro.

Ketika fungsi ekspor R1 dijalankan, file berbahaya diselesaikan setelah inisialisasi oleh program yang diekspor.

Pintu belakang Spinner baru

Sebagai payload, Spinner pintu belakang yang baru ditambahkan adalah komponen utama, yang dikaburkan dengan menggunakan dua metode pengaburan.

Telah terlihat bahwa sampel sebelumnya yang dikaitkan dengan Panda Batu dan Mustang Panda membuktikan kombinasi dari dua metode pengaburan ini.

Ada dua masalah utama, dan ini dia: –

  • Perataan aliran kontrol: Yang membuat aliran kode tidak linier.
  • Predikat buram: Yang menyebabkan perhitungan yang tidak perlu dilakukan dalam biner.

Dalam hal ini, Spinner adalah pintu belakang yang digunakan oleh server perintah-dan-kontrol untuk tujuan menjalankan muatan tambahan.

Rencana lima tahun China juga mengidentifikasi Twisted Panda sebagai bagian dari upayanya untuk meningkatkan kemampuan ilmiah dan teknologinya.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.