Mata-mata Siber Mengincar Asia

Dunia maya sedang dihebohkan oleh kegiatan spionase dimana mata-mata siber mengincar Asia untuk mencuri berbagai data-data sensitif dan berharga.

Peneliti keamanan menemukan backdoor yang sebelumnya tidak dikenal yang mereka sebut Dophin yang telah digunakan oleh peretas Korea Utara dalam operasi yang sangat ditargetkan selama lebih dari setahun untuk mencuri file dan mengirimkannya ke penyimpanan Google Drive.

Menurut penelitian dari ESET, grup ancaman APT 37 (alias ScarCruft, Reaper, Red Eyes, Erebus) menggunakan malware yang baru ditemukan terhadap entitas yang sangat spesifik.

Kelompok tersebut telah dikaitkan dengan aktivitas spionase yang sejalan dengan kepentingan Korea Utara sejak 2012.

Para peneliti menemukan Dolphin pada April 2021 dan mengamatinya berevolusi menjadi versi baru dengan kode yang lebih baik dan mekanisme anti-deteksi.

Baca juga: Polonium Grup Peretas Spionase

ScarCruft

ScarCruft, juga dikenal sebagai APT37 atau Reaper, adalah kelompok spionase yang telah beroperasi setidaknya sejak 2012.

Fokus utama ScarCruft adalah Korea Selatan yang menjadi seteru mereka sejak lama, tetapi negara-negara Asia lainnya juga menjadi sasaran.

ScarCruft tampaknya tertarik terutama pada organisasi pemerintah dan militer, dan perusahaan di berbagai industri yang terkait dengan kepentingan Korea Utara.

BLUELIGHT

Dolphin digunakan bersama dengan BLUELIGHT, alat pengintaian dasar yang terlihat di kampanye APT37 sebelumnya, tetapi memiliki kemampuan yang lebih kuat seperti mencuri informasi dari browser web (kata sandi), mengambil tangkapan layar, dan mencatat penekanan tombol.

BLUELIGHT digunakan untuk meluncurkan pemuat Python Dolphin pada sistem yang dikompromikan tetapi memiliki peran terbatas dalam operasi spionase.

Pemuat Python menyertakan skrip dan kode shell, meluncurkan dekripsi XOR multi-langkah, pembuatan proses, dll., yang pada akhirnya menghasilkan eksekusi muatan Dolphin dalam proses memori yang baru dibuat.

Dolphin adalah C++ yang dapat dieksekusi menggunakan Google Drive sebagai server Command & Control (C2) dan untuk menyimpan file yang dicuri. Malware menetapkan kegigihan dengan memodifikasi Windows Registry.

Baca juga: Gelsemium Otak Dibalik Spioanse Dunia Maya

Kemampuan Dolphin

Selama tahap awal, Dolphin mengumpulkan informasi berikut dari mesin yang terinfeksi:

  • Nama pengguna

  • Nama komputer

  • Alamat IP lokal dan eksternal

  • Perangkat lunak keamanan yang diinstal

  • Ukuran dan penggunaan RAM

  • Kehadiran debugging atau alat inspeksi paket jaringan

  • versi OS

Backdoor juga mengirimkan ke C2, konfigurasi, nomor versi, dan waktunya saat ini.

Konfigurasi tersebut berisi instruksi keylogging dan eksfiltrasi file, kredensial untuk akses Google Drive API, dan kunci enkripsi.

Para peneliti mengatakan bahwa para peretas mengirimkan perintah mereka ke Dolphin dengan mengunggahnya di Google Drive. Sebagai tanggapan, backdoor mengunggah hasil dari menjalankan perintah.

Malware memiliki serangkaian kemampuan yang mencakup pemindaian drive lokal dan yang dapat dilepas untuk berbagai jenis data (media, dokumen, email, sertifikat) yang diarsipkan dan dikirimkan ke Google Drive. Fitur ini lebih ditingkatkan untuk memfilter data dengan ekstensi.

Baca juga: Serangan Supply Chain Perusak dan Spionase

Mencuri file dari Ponsel yang Terhubung

Kemampuan penelusurannya meluas ke semua ponsel yang terhubung ke host yang disusupi menggunakan Windows Portable Device API.

ESET mencatat bahwa fungsi ini tampaknya sedang dikembangkan di versi pertama malware yang mereka temukan. Bukti yang menunjukkan hal ini adalah:

  • Penggunaan jalur hardcode dengan nama pengguna yang kemungkinan besar tidak ada di komputer korban

  • Inisialisasi variabel hilang – beberapa variabel diasumsikan diinisialisasi nol, atau didereferensi sebagai pointer tanpa inisialisasi

  • Pemfilteran ekstensi tidak ada

Selain itu, hal ini juga dapat menurunkan keamanan akun Google korban dengan mengubah setelan terkait. Ini dapat memungkinkan penyerang mempertahankan akses mereka ke akun korban untuk waktu yang lebih lama

Dophin dapat merekam penekanan tombol pengguna di Google Chrome dengan menyalahgunakan API ‘GetAsyncKeyState’ dan dapat mengambil cuplikan dari jendela aktif setiap 30 detik.

Peneliti ESET menemukan empat versi berbeda untuk backdoor Dolphin, yang terbaru adalah 3.0 dari Januari 2022.

Ada kemungkinan bahwa versi Dolphin yang lebih baru ada dan telah digunakan dalam serangan, mengingat pintu belakang telah digunakan terhadap target tertentu.

Menurut para peneliti, malware itu digunakan dalam serangan watering-hole di koran Korea Selatan yang melaporkan aktivitas dan peristiwa yang berkaitan dengan Korea Utara. Peretas mengandalkan eksploitasi Internet Explorer untuk akhirnya mengirimkan pintu belakang Dolphin ke host target.

 

Baca lainnya:

 

Sumber berita:

 

WeLiveSecurity