Serangan Spionase Cyber ​​yang Meluas Menggunakan Spyware China Baru

Serangan Spionase Cyber ​​yang Meluas Menggunakan Spyware China Baru

 

Menurut penelitian baru, aktor ancaman yang diyakini berasal dari China dikaitkan dengan serangkaian sepuluh serangan dari Januari hingga Juli 2021 yang melibatkan penyebaran trojan akses jarak jauh (RAT) pada komputer yang terinfeksi dan menargetkan Mongolia, Rusia, Belarusia, Kanada, dan Amerika Serikat. Pelanggaran telah dikaitkan dengan APT31 (FireEye), ancaman gigih canggih yang telah dijuluki Zirkonium (Microsoft), Judgment Panda (CrowdStrike), dan Bronze Vinewood (Secureworks) oleh komunitas keamanan siber.
BRONZE VINEWOOD telah menyembunyikan aktivitas jahat dalam lalu lintas jaringan legal dengan menggunakan media sosial terkemuka dan situs penyimpanan kode. Kampanye BRONZE VINEWOOD sebelumnya yang memanfaatkan pembajakan perintah pencarian DLL untuk mendistribusikan malware pengunduh HanaLoader dan muatan berbahaya lainnya juga telah ditemukan oleh peneliti Secureworks Counter Threat Unit (CTU).
Menurut para peneliti, kelompok itu dianggap sebagai aktor spionase siber yang disponsori negara China yang berusaha memperoleh intelijen untuk membantu pemerintah China dan perusahaan milik negara.
Dalam serangan itu, penetes malware baru digunakan, yang mencakup pengunduh untuk muatan terenkripsi tahap berikutnya dari server perintah-dan-kontrol jarak jauh, serta kemampuan untuk memecahkan kode dan mengeksekusi malware. Kode berbahaya dapat mengunduh malware lebih lanjut, menempatkan korban yang rentan pada risiko yang lebih besar, serta melakukan operasi file, mengekstrak data sensitif, dan bahkan menghapus dirinya sendiri dari mesin yang disusupi.
Peneliti Positive Technologies Denis Kuvshinov dan Daniil Koloskov menemukan bahwa perintah hapus sendiri menarik karena menggunakan file bat untuk menghapus semua kunci registri dan file yang dibuat sebagai hasil dari menjalankan perintah.
Kemiripan malware dengan trojan yang dikenal sebagai DropboxAES RAT, yang digunakan oleh kelompok ancaman yang sama tahun lalu dan mengandalkan Dropbox untuk komunikasi command-and-control (C2), juga patut diperhatikan, dengan banyak tumpang tindih yang ditemukan dalam teknik dan mekanisme. digunakan untuk menyuntikkan kode serangan, mencapai kegigihan, dan menghapus alat spionase.
Terlepas dari kenyataan bahwa BRONZE VINEWOOD menyebut perangkat lunak DropboxAES RAT, peneliti CTU menemukan bahwa itu tidak menggunakan Advanced Encryption Standard (AES). Sebagai gantinya, ia menggunakan cypher aliran ChaCha20 untuk mengenkripsi dan mendekripsi data. Saat mengenkripsi data, versi malware yang lebih lama mungkin telah menggunakan enkripsi AES.
“Kesamaan yang terungkap dengan versi sebelumnya dari sampel berbahaya yang dijelaskan oleh para peneliti, seperti pada tahun 2020, menunjukkan bahwa kelompok tersebut memperluas geografi kepentingannya ke negara-negara di mana aktivitasnya yang berkembang dapat dideteksi, khususnya Rusia,” para peneliti menyimpulkan.

Pos terkait