Sebuah kelompok ancaman yang sebelumnya terkait dengan Trojan akses jarak jauh ShadowPad (RAT) yang terkenal jahat telah diamati menggunakan versi lama dan usang dari paket perangkat lunak populer untuk memuat malware pada sistem milik beberapa organisasi pemerintah dan pertahanan target di Asia.
Alasan untuk menggunakan versi lama dari perangkat lunak yang sah adalah karena mereka memungkinkan penyerang untuk menggunakan metode terkenal yang disebut sideloading dynamic link library (DLL) untuk mengeksekusi muatan berbahaya mereka pada sistem target. Sebagian besar versi terbaru dari produk yang sama melindungi dari vektor serangan, yang pada dasarnya melibatkan musuh yang menyamarkan file DLL berbahaya sebagai file yang sah dan meletakkannya di direktori tempat aplikasi akan memuat dan menjalankan file secara otomatis.
Para peneliti dari tim Symantec Threat Hunter dari Broadcom Software mengamati shadowpad-kelompok ancaman terkait menggunakan taktik dalam kampanye spionase dunia maya. Target kelompok sejauh ini termasuk kantor perdana menteri, organisasi pemerintah yang terkait dengan sektor keuangan, perusahaan pertahanan dan kedirgantaraan milik pemerintah, dan perusahaan telekomunikasi, TI, dan media milik negara. Analisis vendor keamanan menunjukkan kampanye telah berlangsung setidaknya sejak awal 2021, dengan intelijen menjadi fokus utama.
Taktik Serangan Siber yang Terkenal, tetapi Berhasil
โPenggunaan aplikasi yang sah untuk memfasilitasi sideloading DLL tampaknya menjadi tren yang berkembang di antara pelaku spionase yang beroperasi di wilayah tersebut,โ kata Symantec dalam sebuah laporan minggu ini. Ini adalah taktik yang menarik karena alat anti-malware sering kali tidak mengenali aktivitas jahat karena penyerang menggunakan aplikasi lama untuk pemuatan samping.
โSelain dari usia aplikasi, kesamaan lainnya adalah bahwa mereka semua adalah nama yang relatif terkenal dan dengan demikian mungkin tampak tidak berbahaya.โ kata Alan Neville, analis intelijen ancaman dari tim pemburu ancaman Symantec.
Fakta bahwa kelompok di balik kampanye saat ini di Asia menggunakan taktik tersebut meskipun telah dipahami dengan baik, menunjukkan bahwa teknik tersebut menghasilkan beberapa keberhasilan, kata Symantec.
Neville mengatakan perusahaannya belum lama ini mengamati pelaku ancaman menggunakan taktik di AS atau di tempat lain. โTeknik ini banyak digunakan oleh penyerang yang berfokus pada organisasi Asia,โ tambahnya.
Neville mengatakan bahwa di sebagian besar serangan dalam kampanye terbaru, pelaku ancaman menggunakan utilitas PsExec Windows yang sah untuk menjalankan program pada sistem jarak jauh untuk melakukan sideloading dan menyebarkan malware. Dalam setiap kasus, penyerang sebelumnya telah mengkompromikan sistem tempat mereka menginstal aplikasi lama yang sah.
โ[Program] dipasang di setiap komputer yang disusupi oleh penyerang yang ingin menjalankan malware. Dalam beberapa kasus, itu bisa berupa beberapa komputer di jaringan korban yang sama,โ kata Neville. Dalam kasus lain, Symantec juga mengamati mereka menyebarkan beberapa aplikasi yang sah pada satu mesin untuk memuat malware mereka, tambahnya.
โMereka menggunakan cukup banyak perangkat lunak, termasuk perangkat lunak keamanan, perangkat lunak grafis, dan browser Web,โ catatnya. Dalam beberapa kasus, peneliti Symantec juga mengamati penyerang menggunakan file sistem yang sah dari OS Windows XP lama untuk mengaktifkan serangan.
Logdatter, Rentang Muatan Berbahaya
Salah satu muatan berbahaya adalah pencuri informasi baru yang dijuluki Logdatter, yang memungkinkan penyerang untuk mencatat penekanan tombol, mengambil tangkapan layar, meminta database SQL, menyuntikkan kode arbitrer, dan mengunduh file, antara lain. Muatan lain yang digunakan pelaku ancaman dalam kampanye Asianya termasuk Trojan berbasis PlugX, dua RAT yang dijuluki Trochilus dan Quasar, dan beberapa alat penggunaan ganda yang sah. Ini termasuk Ladon, kerangka pengujian penetrasi, FScan, dan NBTscan untuk memindai lingkungan korban.
Neville mengatakan Symantec tidak dapat menentukan dengan pasti bagaimana pelaku ancaman dapat memperoleh akses awal pada lingkungan target. Tetapi phishing dan penargetan peluang dari sistem yang belum ditambal kemungkinan besar adalah vektor.
โAtau, serangan rantai pasokan perangkat lunak tidak berada di luar jangkauan penyerang ini karena aktor dengan akses ke ShadowPad adalah diketahui telah meluncurkan serangan rantai pasokan di masa lalu,โ catat Neville. Setelah pelaku ancaman mendapatkan akses ke suatu lingkungan, mereka cenderung menggunakan berbagai alat pemindaian seperti NBTScan, TCPing, FastReverseProxy, dan Fscan untuk mencari sistem lain yang akan ditargetkan.
Untuk mempertahankan diri dari serangan semacam ini, organisasi perlu menerapkan mekanisme untuk mengaudit dan mengendalikan perangkat lunak apa yang mungkin berjalan di jaringan mereka. Mereka juga harus mempertimbangkan untuk menerapkan kebijakan yang hanya mengizinkan aplikasi yang masuk daftar putih untuk berjalan di lingkungan dan memprioritaskan penambalan kerentanan dalam aplikasi yang dapat diakses publik.
โKami juga merekomendasikan untuk mengambil tindakan segera untuk membersihkan mesin yang menunjukkan indikator kompromi apa pun,โ saran Neville, โโฆ termasuk kredensial bersepeda dan mengikuti proses internal organisasi Anda sendiri untuk melakukan penyelidikan menyeluruh.โ
