Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Personal
  • Incar Universitas, ESET Pergoki Winnti Group
  • Sektor Personal

Incar Universitas, ESET Pergoki Winnti Group

3 min read

Credit image: Pixabay

Sejak 2012 kelompok penjahat siber yang dijuluki Winnti Group bertanggung jawab atas segala supply chain attack atau serangan terhadap rantai pasokan pada industri video game dan perangkat lunak dengan trojanisasi perangkat lunak seperti Ccleaner, ASUS LiveUpdate, dan beberapa video game yang kemudian digunakan untuk meretas lebih banyak korban. Mereka juga dikenal karena meretas berbagai target di sektor kesehatan dan pendidikan.

Menariknya dari investigasi ESET, pada tahun 2018 Winnti Group yang terkenal dengan kemampuan spionasenya seperti mencari sampingan dengan memasang penambang cryptocurrency pada malwarenya, entah butuh tambahan atau hanya sedang ikut tren kejahatan siber saat itu yang ramai mengincar cryptocurrency. Tapi yang jelas aksi yang di luar kebiasaan selalu menjadi pertanyaan yang menarik, apalagi dengan nama besarnya mereka masih bermain di tempat lain untuk cari sampingan.

Masuk di tahun 2019, ESET kembali menemukan operasi siber baru oleh Winnti Group di dua universitas di Hongkong, di mana mereka menggunakan varian baru bernama ShadowPad yang merupakan backdoor unggulan mereka yang disebar menggunakan launcher baru dengan menyertakan banyak modul. Malware Winnti juga ditemukan di universitas-universitas ini beberapa minggu sebelum ShadowPad.

Augur dan ShadowPad

Pada bulan November 2019, mesin pembelajaran ESET, Augur, mendeteksi sampel berbahaya dan unik yang ada di beberapa komputer milik dua universitas Hong Kong di mana malware Winnti telah ditemukan pada akhir Oktober.

Sampel mencurigakan yang terdeteksi oleh Augur sebenarnya adalah launcher baru ShadowPad 32-bit. Sampel dari ShadowPad dan Winnti yang ditemukan di universitas-universitas ini berisi pengidentifikasi dan URL C&C dengan nama-nama universitas, yang menunjukkan serangan yang ditargetkan atau targeted attack.

Selain dua universitas yang berhasil diretas, berkat format URL C&C yang digunakan oleh para peretas, ESET memiliki alasan untuk menyimpulkan bahwa setidaknya tiga universitas Hong Kong lainnya mungkin telah dikompromikan menggunakan varian ShadowPad dan Winnti yang sama. ESET telah menghubungi universitas yang diretas dan memberikan informasi dan bantuan yang diperlukan untuk memulihkan keamanannya.

Tentang ShadowPad

Sebenarnya seperti apa ShadowPad yang dijadikan andalan baru oleh Winnti Group tersebut? Tidak seperti varian ShadowPad sebelumnya yang sudah ESET oprek sebelumnya, peluncur kali ini tidak lagi disamarkan menggunakan VMProtect.

Selain itu, payload terenkripsi tidak tertanam dalam overlay atau terletak di aliran data alternatif COM1: NULL.dat. Dan enkripsi RC5 biasa dengan kunci yang berasal dari ID volume drive sistem mesin korban seperti yang terlihat di backdoor PortReuse, lewati-2.0 dan beberapa varian ShadowPad juga tidak ada. Dalam hal ini, peluncurnya jauh lebih sederhana.

Launcher adalah DLL 32-bit bernama hpqhvsei.dll, yang merupakan nama DLL legitimate yang dimuat oleh hpqhvind.exe. Executable-nya berasal dari HP dan biasanya diinstal dengan perangkat lunak printing dan scanning yang disebut “HP Digital Imaging”. Di mana hpqhvind.exe legitimate di-drop oleh peretas bersama dengan hpqhvsei.dll berbahaya di C:\Windows\Temp.

Komunikasi Jaringan

Setelah diinstal pada sistem, ShadowPad memulai proses wmplayer.exe Microsoft Windows Media Player yang disembunyikan dan ditangguhkan dan menyuntikkan dirinya ke dalam proses itu. Akses ke wmplayer.exe disediakan oleh modul Config.

Setelah ShadowPad disuntikkan ke wmplayer.exe, modul Online akan menghubungi server C&C menggunakan URL yang ditentukan dalam konfigurasi. Kemudian akan mulai mendengarkan koneksi pada port 13567 setelah memperbarui aturan firewall yang sesuai

Malware Winnti

Selain ShadowPad, malware Winnti ditemukan pada beberapa mesin di dua universitas ini pada akhir Oktober (yaitu dua minggu sebelum ShadowPad) dalam file C: \ Windows \ System32 \ oci.dll dan dideteksi oleh produk ESET sebagai Win64 /Winnti.CA.

Malware Winnti biasanya berisi konfigurasi yang menentukan ID operasi dan URL C&C. Di semua mesin, ID operasi cocok dengan nama universitas yang ditargetkan dan URL C&C-nya:

  • w [dihapus] .livehost.live: 443
  • w [dihapus] .dnslookup.services: 443
  • Di mana bagian yang dihapus sesuai dengan nama universitas yang ditargetkan.

Konklusi

Grup Winnti masih aktif menggunakan salah satu backdoor andalannya, ShadowPad, kali ini terhadap universitas-universitas di Hong Kong.

Dalam operasi sibernya, biasanya ShadowPad menggunakan launcher VMPProtected, serta dengan backdoor PortReuse dan skip-2.0, tapi kali ini digantikan oleh peluncur yang lebih sederhana.

Dari sampel-sampel yang ditemukan dan diselidiki diketahui bahwa bukan hanya nama-nama universitas diincar yang muncul tetapi juga ID operasi siber mereka yang menunjukkan bahwa serangan ini memang sangat ditargetkan oleh Winnti Group.

Bagi pengguna ESET tidak perlu khawatir karena semua varian grup penjahat siber ini sudah terdeteksi dengan baik oleh produk ESET.

Serangan terhadap universitas dapat menjadi peringatan bagi dunia pendidikan agar berhati-hati terhadap serangan lainnya. Karena bisa jadi universitas lain ikut menjadi sasaran berikutnya oleh Winnti.

Oleh karenanya agar sepak terjang grup ini dapat dideteksi, ESET akan terus memantau kegiatan baru Grup Winnti dan akan mempublikasikan informasi yang relevan demi keamanan bersama pengguna internet.

Tags: Antivirus ESET Antivirus Komprehensif Antivirus Super Ringan Antivirus Terbaik Augur BacaPikirshare ESET Malware Kampus mALWARE wINNTI Prosperita Serang Universitas Shadowpad Winnti Group

Continue Reading

Previous: Tips Melindungi Tim Bekerja Remote
Next: Antara Virus Korona, Phising dan Survei

Related Stories

Metode Penyebaran Malware Makin Naik Level Metode Penyebaran Malware Makin Naik Level
4 min read
  • Sektor Bisnis
  • Sektor Personal

Metode Penyebaran Malware Makin Naik Level

May 13, 2025
Mengupas Tuntas Kejahatan Siber Money Mules Mengupas Tuntas Kejahatan Siber Money Mules
5 min read
  • Sektor Personal

Mengupas Tuntas Kejahatan Siber Money Mules

May 5, 2025
Mengungkap Akar Permasalahan Pemerasan Digital Pemerasan Digital: Mengungkap Akar Permasalahan
4 min read
  • Sektor Personal
  • Teknologi

Mengungkap Akar Permasalahan Pemerasan Digital

May 2, 2025

Recent Posts

  • Meretas Beragam Wajah Phising
  • ClickFix Bidik Windows dan Linux
  • Pembuat Video Palsu AI Sebar Infostealer
  • Puluhan Ribu Sub Domain Manipulasi SEO Curi Kripto
  • Metode Penyebaran Malware Makin Naik Level
  • Ratusan Juta Email Phising Melanda Dunia Maya
  • Sextortion dan Predator Online Merajalela di Dunia Maya
  • Ratusan Ribu Kartu Kredit Dicuri Darcula Lewat Phising
  • Hati-hati Lamaran Online Berisi Phising
  • Scattered Spider Penjahat Siber Paling Bengis

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Meretas Beragam Wajah Phising Meretas Beragam Wajah Phising
7 min read
  • Teknologi

Meretas Beragam Wajah Phising

May 14, 2025
ClickFix Bidik Windows dan Linux ClickFix Bidik Windows dan Linux
3 min read
  • Teknologi

ClickFix Bidik Windows dan Linux

May 14, 2025
Pembuat Video Palsu AI Sebar Infostealer
3 min read
  • Teknologi

Pembuat Video Palsu AI Sebar Infostealer

May 14, 2025
Puluhan Ribu Sub Domain Manipulasi SEO Curi Kripto Puluhan Ribu Sub Domain Manipulasi SEO Curi Krypto
4 min read
  • Teknologi

Puluhan Ribu Sub Domain Manipulasi SEO Curi Kripto

May 13, 2025

Copyright © All rights reserved. | DarkNews by AF themes.