Peretas China Menggunakan Alat Greyware Untuk Melawan Ponsel

  • Whatsapp
Peretas China Menggunakan Alat Greyware Untuk Melawan Ponsel
Peretas China Menggunakan Alat Greyware Untuk Melawan Ponsel
Peretas China Menggunakan Alat Greyware Untuk Melawan Ponsel

Kelompok peretas China yang dikenal sebagai Tropic Trooper dikaitkan dengan kampanye baru yang ditemukan oleh peneliti keamanan siber di CheckPoint. Dalam hal ini, varian baru trojan Yahoyah sedang digunakan bersama dengan loader baru yang disebut Nimbda.

Selain itu, trojan tertanam dalam alat Greyware yang dirancang untuk serangan DoS terhadap ponsel. Alat ini disebut SMS Bomber, dan membanjiri ponsel dengan pesan.

Sementara alat tersebut sering digunakan oleh pemula di bidang keamanan siber yang ingin melakukan serangan terhadap situs web.

Sebagai tanda keterampilan kriptografi canggih mereka, pelaku ancaman mengembangkan implementasi kustom mereka sendiri dari spesifikasi AES, memperluas fungsinya.

Aliran serangan

Versi berbahaya dari SMS Bomber diunduh sebagai bagian dari proses infeksi. Berikut hal-hal yang terkandung dalam SMS Bomber ini –

  • Biner alat
  • Fungsionalitas standar

Selain unduhan yang dimodifikasi, file baru yang menyuntikkan potongan kode dalam proses notepad.exe juga telah disertakan.

Sebenarnya ada file yang dapat dieksekusi dalam file yang diunduh bernama Nimbda yang merupakan loader. SMS Bomber adalah executable tertanam di loader ini yang memungkinkan untuk menggunakan ikon yang terkait dengan SMS Bomber.

Shellcode diintegrasikan ke dalam notepad untuk membuat koneksi latar belakang ke repositori GitHub. Selanjutnya, ia mengambil executable yang dikaburkan, mendekripsinya, dan kemudian mengeksekusinya melalui bug di DLLhost.exe, yang mengeksploitasi celah ini.

Varian baru Yahoo digunakan untuk muatan ini. Di sini untuk mengumpulkan data tentang tuan rumah, pelaku ancaman menggunakan muatan ini dan kemudian mengirimkan data yang dikumpulkan ke server C2.

Menurut laporanDi bawah ini kami telah mencantumkan semua jenis informasi yang dikumpulkan oleh Yahoo:-

  • Nama sistem
  • Keberadaan file WeChat
  • Keberadaan file Tencent
  • Alamat MAC sistem
  • Produk AV diinstal pada sistem
  • SSID jaringan nirkabel lokal
  • versi OS

Implementasi AES khusus

Yahoo menggunakan implementasi kustom AES untuk mengenkripsi data yang dikirim melalui internet. Dalam teknik yang digunakan, putaran ganda inversi dilakukan.

Karena implementasi ini, Check Point menamakannya “AEES.” Namun, itu tidak membuat enkripsi menjadi lebih kuat, tetapi justru mempersulit pakar keamanan untuk memeriksa sampel.

Saat ini, tidak diketahui apa cakupan pasti dari penargetan tersebut. Dalam kampanye ini, ditunjukkan bagaimana keterampilan dan kemampuan siluman Tropic Trooper dapat digunakan.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk pembaruan Cybersecurity harian.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.