Sejak 2012 kelompok penjahat siber yang dijuluki Winnti Group bertanggung jawab atas segala supply chain attack atau serangan terhadap rantai pasokan pada industri video game dan perangkat lunak dengan trojanisasi perangkat lunak seperti Ccleaner, ASUS LiveUpdate, dan beberapa video game yang kemudian digunakan untuk meretas lebih banyak korban. Mereka juga dikenal karena meretas berbagai target di sektor kesehatan dan pendidikan.
Menariknya dari investigasi ESET, pada tahun 2018 Winnti Group yang terkenal dengan kemampuan spionasenya seperti mencari sampingan dengan memasang penambang cryptocurrency pada malwarenya, entah butuh tambahan atau hanya sedang ikut tren kejahatan siber saat itu yang ramai mengincar cryptocurrency. Tapi yang jelas aksi yang di luar kebiasaan selalu menjadi pertanyaan yang menarik, apalagi dengan nama besarnya mereka masih bermain di tempat lain untuk cari sampingan.
Masuk di tahun 2019, ESET kembali menemukan operasi siber baru oleh Winnti Group di dua universitas di Hongkong, di mana mereka menggunakan varian baru bernama ShadowPad yang merupakan backdoor unggulan mereka yang disebar menggunakan launcher baru dengan menyertakan banyak modul. Malware Winnti juga ditemukan di universitas-universitas ini beberapa minggu sebelum ShadowPad.
Augur dan ShadowPad
Pada bulan November 2019, mesin pembelajaran ESET, Augur, mendeteksi sampel berbahaya dan unik yang ada di beberapa komputer milik dua universitas Hong Kong di mana malware Winnti telah ditemukan pada akhir Oktober. Sampel mencurigakan yang terdeteksi oleh Augur sebenarnya adalah launcher baru ShadowPad 32-bit. Sampel dari ShadowPad dan Winnti yang ditemukan di universitas-universitas ini berisi pengidentifikasi dan URL C&C dengan nama-nama universitas, yang menunjukkan serangan yang ditargetkan atau targeted attack.
Selain dua universitas yang berhasil diretas, berkat format URL C&C yang digunakan oleh para peretas, ESET memiliki alasan untuk menyimpulkan bahwa setidaknya tiga universitas Hong Kong lainnya mungkin telah dikompromikan menggunakan varian ShadowPad dan Winnti yang sama. ESET telah menghubungi universitas yang diretas dan memberikan informasi dan bantuan yang diperlukan untuk memulihkan keamanannya.
Tentang ShadowPad
Sebenarnya seperti apa ShadowPad yang dijadikan andalan baru oleh Winnti Group tersebut? Tidak seperti varian ShadowPad sebelumnya yang sudah ESET oprek sebelumnya, peluncur kali ini tidak lagi disamarkan menggunakan VMProtect. Selain itu, payload terenkripsi tidak tertanam dalam overlay atau terletak di aliran data alternatif COM1: NULL.dat. Dan enkripsi RC5 biasa dengan kunci yang berasal dari ID volume drive sistem mesin korban seperti yang terlihat di backdoor PortReuse, lewati-2.0 dan beberapa varian ShadowPad juga tidak ada. Dalam hal ini, peluncurnya jauh lebih sederhana.
Launcher adalah DLL 32-bit bernama hpqhvsei.dll, yang merupakan nama DLL legitimate yang dimuat oleh hpqhvind.exe. Executable-nya berasal dari HP dan biasanya diinstal dengan perangkat lunak printing dan scanning yang disebut “HP Digital Imaging”. Di mana hpqhvind.exe legitimate di-drop oleh peretas bersama dengan hpqhvsei.dll berbahaya di C:\Windows\Temp.
Komunikasi Jaringan
Setelah diinstal pada sistem, ShadowPad memulai proses wmplayer.exe Microsoft Windows Media Player yang disembunyikan dan ditangguhkan dan menyuntikkan dirinya ke dalam proses itu. Akses ke wmplayer.exe disediakan oleh modul Config.
Setelah ShadowPad disuntikkan ke wmplayer.exe, modul Online akan menghubungi server C&C menggunakan URL yang ditentukan dalam konfigurasi. Kemudian akan mulai mendengarkan koneksi pada port 13567 setelah memperbarui aturan firewall yang sesuai
Malware Winnti
Selain ShadowPad, malware Winnti ditemukan pada beberapa mesin di dua universitas ini pada akhir Oktober (yaitu dua minggu sebelum ShadowPad) dalam file C: \ Windows \ System32 \ oci.dll dan dideteksi oleh produk ESET sebagai Win64 /Winnti.CA.
Malware Winnti biasanya berisi konfigurasi yang menentukan ID operasi dan URL C&C. Di semua mesin, ID operasi cocok dengan nama universitas yang ditargetkan dan URL C&C-nya:
w [dihapus] .livehost.live: 443
w [dihapus] .dnslookup.services: 443
Di mana bagian yang dihapus sesuai dengan nama universitas yang ditargetkan.
Konklusi
Grup Winnti masih aktif menggunakan salah satu backdoor andalannya, ShadowPad, kali ini terhadap universitas-universitas di Hong Kong. Dalam operasi sibernya, biasanya ShadowPad menggunakan launcher VMPProtected, serta dengan backdoor PortReuse dan skip-2.0, tapi kali ini digantikan oleh peluncur yang lebih sederhana.
Dari sampel-sampel yang ditemukan dan diselidiki diketahui bahwa bukan hanya nama-nama universitas diincar yang muncul tetapi juga ID operasi siber mereka yang menunjukkan bahwa serangan ini memang sangat ditargetkan oleh Winnti Group. Bagi pengguna ESET tidak perlu khawatir karena semua varian grup penjahat siber ini sudah terdeteksi dengan baik oleh produk ESET.
Serangan terhadap universitas dapat menjadi peringatan bagi dunia pendidikan agar berhati-hati terhadap serangan lainnya. Karena bisa jadi universitas lain ikut menjadi sasaran berikutnya oleh Winnti. Oleh karenanya agar sepak terjang grup ini dapat dideteksi, ESET akan terus memantau kegiatan baru Grup Winnti dan akan mempublikasikan informasi yang relevan demi keamanan bersama pengguna internet.
