Grup Ke3chang atau dikenal juga sebagai APT15 adalah kelompok penjahat siber yang diduga berasa dari Tiongkok. Berdasarkan catatan sejarah kejahatan mereka di dunia siber, kelompok Ke3chang sudah beraksi sejak tahun 2010 yang menargetkan organisasi diplomatik di Eropa.
ESET telah melacak kegiatan berbahaya yang berhubungan dengan Ke3chang dan menemukan sebuah keluarga malware yang sebelumnya tidak tercatat memiliki hubungan yang kuat dengan kelompok Ke3chang, sebuah backdoor yang ESET beri nama Okrum. Menurut telemetri ESET, Okrum pertama kali terdeteksi pada bulan Desember 2016 dan ditargetkan pada misi diplomatik di Slovakia, Belgia, Brasil, Guatemala dan Brasil seluruh 2017.
Selanjutnya, 2015-2019 ESET mendeteksi versi baru keluarga malware yang dikenal terkait dengan kelompk Ke3chang yaitu backdoors BS2005 dari operasi Ke3chang dan RoyalDNS malware, yang dilaporkan oleh kelompok NCC tahun 2018. Versi baru operasi malware Ke3chang dari 2015-2019 terdeteksi oleh ESET sebagai Win32/Ketrican dan kolektif disebut sebagai Ketrican backdoors.
Link ke kelompok Ke3chang
Penelitian ESET menunjukkan bahwa backdoor Ketrican, Okrum dan RoyalDNS terdeteksi oleh ESET setelah 2015 terkait dengan dokumentasi sebelumnya kegiatan kelompok Ke3chang, dan satu sama lain dalam beberapa cara. Ini adalah koneksi yang paling penting;
- Backdoors Ketrican dari tahun 2015, 2017, 2018 dan 2019 telah berevolusi semua dari malware yang digunakan dalam Operasi Ke3chang.
- Backdoor The RoyalDNS terdeteksi oleh ESET di 2017 mirip dengan backdoor RoyalDNS yang dilaporkan sebelumnya yang digunakan dalam serangan.
- Okrum terkait dengan backdoors Ketrican bahwa ia digunakan untuk dropper backdoor Ketrican dikompilasi pada tahun 2017
- Okrum, Ketrican dan RoyalDNS punya jenis target organisasi yang sama yang sama, beberapa entitas dipengaruhi oleh Okrum juga menjadi sasaran dengan satu atau lebih dari backdoors Ketrican/RoyalDNS
- Okrum memiliki modus operandi yang sama seperti dalam dokumentasi malware Ke3chang sebelumnya, dilengkapi dengan satu set dasar backdoor bergantung pada perintah shell manual yang diketik dan alat-alat eksternal untuk sebagian besar aktivitas berbahaya.
Distribusi dan target
Menurut telemetri ESET, Okrum digunakan untuk menyerang organisasi diplomatik di Slovakia, Belgia, Brasil, Guatemala, dan Brazil, dengan penyerang menunjukkan minat khusus di Slovakia. Operator malware mencoba untuk menyembunyikan lalu lintas berbahaya mereka melalui server C&C dengan lalu lintas jaringan biasa dengan mendaftarkan nama domain yang tampaknya sah.
Sebagai contoh, sampel yang digunakan terhadap target Slovakia menggunakan nama domain meniru peta Portal Slowakia (support.slovakmaps[.]com). Sebuah topeng yang sama digunakan dalam sampel terdeteksi di negara berbahasa Spanyol di Amerika Selatan, operator menggunakan nama domain yang diterjemahkan sebagai “missions support” dalam bahasa Spanyol (Misiones.soportesisco [.]com). Bagaimana malware Okrum didistribusikan ke mesin yang ditargetkan adalah pertanyaan yang masih harus dijawab.
Okrum secara teknis
Okrum dynamic-link library adalah backdoor yang diinstal dan dimuat oleh dua tahapan komponen sebelumnya. Selama penyelidikan ESET, pelaksanaan dua komponen ini sering berubah. Setiap beberapa bulan, pengembang aktif mengubah implementasi loader dan installer komponen Okrum untuk menghindari deteksi. Pada saat publikasi, sistem ESET mendeteksi tujuh versi yang berbeda dari komponen loader dan dua versi installer, meskipun fungsi tetap sama.
Payload Okrum tersembunyi dalam file PNG. Ketika file tersebut dilihat di penampil gambar, gambar yang akrab ditampilkan, tetapi para loader Okrum dapat menempatkan file terenkripsi yang tidak dapat diihat pengguna. Teknik steganografi ini merupakan upaya pengembang malware untuk tetap tidak diperhatikan dan menghidari deteksi.
Adapun fungsi, backdoor Okrum hanya dilengkapi dengan perintah dasar, seperti mengunduh dan mengunggah file, mengeksekusi file dan perintah shell. Sebagian besar aktivitas berbahaya harus dilakukan secara manual dengan mengetikkan perintah shell, atau dengan menjalankan alat-alat lain dan perangkat lunak. Ini adalah praktik yang umum dari kelompok Ke3chang.
ESET telah mendeteksi berbagai alat eksternal disalahgunakan oleh Okrum, seperti keylogger, alat untuk membuang password, atau enumerasi sesi jaringan. Backdoors Ketrican yang ESET deteksi pada 2015-2019 menggunakan utilitas serupa. Kita hanya bisa menebak mengapa pengembang Ke3chang menggunakan teknik ini, mungkin kombinasi dari backdoor sederhana dan alat-alat eksternal sepenuhnya mengakomodasi kebutuhan mereka, sementara juga lebih mudah untuk mengembangkannya, tetapi juga dapat menjadi upaya untuk menghindari deteksi perilaku.
Teknik-teknik penghindaran deteksi yang ESET amati pada malware Okrum termasuk embedding payload berbahaya dalam gambar PNG yang sah, menggunakan beberapa trik anti-emulation dan anti-sandbox, serta membuat perubahan sering dalam pelaksanaannya.
Hasil analisis
Analisis ESET dari link antara dokumentasi malware Ke3chang sebelumnya dan backdoor Okrum yang baru ditemukan, ESET sangat menyakini bahw aOkrum dioperasikan oleh kelompok Ke3chang. Dan sejak aktivitas mereka masuk dokumentasi 2015-2019 ESET menyimpulkan bahwa kelompok tersebut masih terus aktif dan
sebelumnya didokumentasikan Ke3chang malware dan Okrum backdoor yang baru ditemukan mari kita mengklaim dengan keyakinan tinggi bahwa Okrum dioperasikan oleh kelompok Ke3chang. Kelompok Ke3chang berdasarkan dokumentasikan ESET atas aktivitas mereka sepanjang 2015-2019, maka disimpulkan bahwa kelompok tersebut terus aktif dan bekerja untuk memperbaiki dan menyempurnakan kode dari waktu ke waktu.
Sumber berita:
www.welivesecurity.com
