Peneliti Ungkap Serangan yang Tergetkan Pemerintahan dan Raksasa Telekomunikasi di Asia
Cybethreat.id - Entitas pemerintah dan telekomunikasi terkemuka di Asia telah menjadi sasaran serangan. Ini sebagai bagian dari kampanye berkelanjutan sejak tahun 2021 yang dirancang untuk menerapkan backdoor dan loader dasar untuk mengirimkan malware tahap berikutnya.
Perusahaan keamanan siber Check Point melacak aktivitas tersebut dengan nama Stayin' Alive. Sasarannya mencakup organisasi-organisasi yang berlokasi di Vietnam, Uzbekistan, Pakistan, dan Kazakhstan.
“Sifat alat yang sederhana dan variasinya yang luas menunjukkan bahwa alat tersebut dapat dibuang, sebagian besar digunakan untuk mengunduh dan menjalankan muatan tambahan,” katanya dalam sebuah laporan yang diterbitkan pada hari Rabu sebagaimana ditulis The Hacker News.
“Alat-alat ini tidak memiliki kode yang jelas dan tumpang tindih dengan produk yang dibuat oleh aktor terkenal dan tidak memiliki banyak kesamaan satu sama lain.”
Hal yang menonjol dari kampanye ini adalah bahwa infrastruktur yang digunakan tumpang tindih dengan yang digunakan oleh ToddyCat, aktor ancaman terkait China yang dikenal mengatur serangan siber terhadap lembaga pemerintah dan militer di Eropa dan Asia setidaknya sejak Desember 2020.
Rantai serangan dimulai dengan email spear-phishing yang berisi lampiran file ZIP dengan executable sah yang memanfaatkan pemuatan samping DLL untuk memuat pintu belakang yang disebut CurKeep melalui DLL jahat dal_keepalives.dll yang ada dalam arsip.
CurlKeep dirancang untuk mengirimkan informasi tentang host yang disusupi ke server jarak jauh, menjalankan perintah yang dikirim oleh server, dan menulis respons server ke file di sistem.
Pemeriksaan lebih dekat terhadap infrastruktur perintah-dan-kontrol (C2) telah mengungkapkan varian pemuat yang terus berkembang yang dijuluki CurLu, CurCore, dan CurLog yang mampu menerima file DLL, menjalankan perintah jarak jauh, dan meluncurkan proses yang terkait dengan yang baru. file yang dihasilkan tempat data dari server ditulis.
Juga ditemukan implan pasif bernama StylerServ yang mendengarkan pada lima port berbeda (60810, 60811, 60812, 60813, dan 60814) untuk menerima koneksi jarak jauh dan menerima file konfigurasi terenkripsi.
Meskipun tidak ada bukti konklusif yang menghubungkan Stayin' Alive dengan ToddyCat, temuan menunjukkan bahwa kedua rangkaian intrusi menggunakan infrastruktur yang sama untuk mencapai serangkaian target yang serupa.
“Penggunaan loader dan downloader sekali pakai, seperti yang diamati dalam kampanye ini, menjadi lebih umum bahkan di kalangan aktor yang sudah berpengalaman,” kata Check Point seperti dikutip The Hacker News.
“Penggunaan alat sekali pakai membuat upaya deteksi dan atribusi menjadi lebih sulit, karena alat tersebut sering diganti, dan mungkin ditulis dari awal.”
Perkembangan ini terjadi ketika Pusat Tanggap Darurat Keamanan AhnLab (ASEC) mengungkapkan bahwa berbagai entitas di Korea Selatan dan Thailand menjadi sasaran pintu belakang berbasis Go open-source yang dijuluki BlueShell yang memungkinkan eksekusi perintah serta pengunduhan dan pengunggahan file.
Beberapa gangguan telah dikaitkan dengan kru peretas China yang dikenal sebagai Dalbit.[]