Hacker China Mata-matai Australia, Rusia, dan Malaysia dengan Menyebar Malware Linux Baru

Hacker China Mata-matai Australia, Rusia, dan Malaysia dengan Menyebar Malware Linux Baru - Tekno

, Jakarta - Hacker China menyebarkan varian malware Linux baru dalam serangan cyber espionage (memata-matai), seperti varian PingPull baru dan backdoor yang sebelumnya tidak terdeteksi berjuluk 'Sword2033.'

Cyber espionage merupakan serangan dunia maya yang berupaya mengakses data sensitif untuk keuntungan ekonomi, kompetitif, atau alasan politik.

PingPull adalah RAT (remote access trojan/trojan akses jarak jauh) yang pertama kali didokumentasikan oleh peneliti keamanan siber Unit 42 musim panas lalu dalam serangan spionase yang dilakukan oleh grup Gallium--disponsori negara China, juga dikenal sebagai Alloy Taurus.

Serangan tersebut menargetkan pemerintah dan organisasi keuangan di Australia, Rusia, Belgia, Malaysia, Vietnam, dan Filipina. Demikian seperti dikutip dari Bleeping Computer, Senin (1/5/2023).

Unit 42 disebut terus memantau spionase tersebut dan belum lama ini melaporkan hacker China menggunakan varian malware baru terhadap target di Afrika Selatan dan Nepal.

Varian Linux dari PingPull adalah file ELF yang saat ini hanya ditandai oleh 3 dari 62 vendor anti-virus sebagai yang 'paling berbahaya'.

Unit 42 telah menentukan bahwa itu adalah port dari malware Windows yang dikenal dengan memperhatikan kesamaan dalam struktur komunikasi HTTP, parameter POST, kunci AES, dan perintah yang diterimanya dari command and control server (C2).

C2 adalah alat utama yang dimiliki pelaku ancaman siber dalam 'gudang senjata' mereka untuk meluncurkan dan mengendalikan serangan.

Peretas menggunakan C2 untuk mengirimkan perintah ke malware mereka dan untuk mendistribusikan program berbahaya, skrip berbahaya, dan lainnya.

Perintah yang dikirim C2 ke malware ditunjukkan dengan satu karakter huruf besar di parameter HTTP, dan payload mengembalikan hasilnya ke server melalui permintaan dengan format base64-encode.

Unit 42 menilai perintah yang digunakan di PingPull cocok dengan yang diamati di malware lain bernama 'China Chopper,' sebuah web shell yang terlihat banyak digunakan dalam serangan terhadap server Microsoft Exchange.

2 dari 4 halaman

Hacker China Pakai Google Drive untuk Suntik Malware di Jaringan Pemerintah Sejumlah Negara

Sebelumnya, hacker China yang didukung negara meluncurkan serangan spearphishing untuk mengirimkan malware khusus yang disimpan di Google Drive ke organisasi pemerintah, penelitian, dan akademik di seluruh dunia.

Serangan tersebut telah diamati antara Maret dan Oktober 2022, di mana para peneliti mengaitkannya dengan kelompok spionase dunia maya Mustang Panda.

Menurut peneliti Trend Micro, kelompok hacker itu menargetkan sebagian besar organisasi di Australia, Jepang, Taiwan, Myanmar, dan Filipina.

Mengutip Bleeping Computer, Selasa (22/11/2022), mereka menggunakan akun Google untuk mengirim pesan email target dengan umpan yang menipu korban agar mengunduh malware khusus dari tautan Google Drive.

Dalam sebuah laporan, peneliti Trend Micro mengatakan peretas menggunakan pesan dengan subjek geopolitik dan kebanyakan dari mereka (84 persen) menargetkan organisasi pemerintah/hukum.

Untuk melewati mekanisme keamanan, tautan tersemat mengarah ke folder Google Drive atau Dropbox. Keduanya merupakan platform resmi dengan reputasi baik yang biasanya tidak terlalu mencurigakan.

Tautan ini mengarah pada pengunduhan file terkompresi (RAR, ZIP, JAR) dengan jenis malware khusus seperti ToneShell, ToneIns, dan PubLoad.

"Subjek email mungkin kosong atau mungkin memiliki nama yang sama dengan arsip berbahaya," demikian penjelasan laporan tersebut.

3 dari 4 halaman

Aktivitas Mustang Panda

Trend Micro mengatakan serangan baru-baru ini menampilkan teknik, taktik, dan prosedur (Techniques, Tactics, and Procedures/TTPs) Mustang Panda yang sama, seperti dilaporkan Secureworks pada September 2022.

Serangan terbaru menunjukkan tanda-tanda peningkatan perangkat dan kemampuan untuk berkembang, di mana meningkatkan kemampuan peretas China untuk mengumpulkan intelijen dan menembus target.

Awal tahun ini, Proofpoint melaporkan Mustang Panda memfokuskan operasinya di Eropa, menargetkan para diplomat berpangkat tinggi.

Sementara laporan Secureworks dari sekitar waktu yang sama melihat serangan Mustang Panda terpisah, kali ini menargetkan pejabat Rusia.

Pada Maret 2022, ESET menjelajahi operasi Mustang Panda di Asia Tenggara, Eropa Selatan, dan Afrika, menunjukkan bahwa geng spionase China ini merupakan ancaman global meskipun pergerakannya terfokus jangka pendek.

4 dari 4 halaman