Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • OceanLotus Sindikat APT Berbahaya
  • Teknologi

OceanLotus Sindikat APT Berbahaya

3 min read

Credit image: Pixabay

OceanLotus yang juga dijuluki sebagai APT32 dan APT-C-00 adalah kelompok APT (Advanced Persistent Threat) yang selama beberapa tahun terakhir telah melakukan operasi pengintaian digital canggih, membangun infrastruktur serangan besar-besaran dari situs web yang mereka kuasai.

OceanLotus memasang target tinggi terhadap sasaran-sasaran high profile seperti korporat dan pemerintahan di Asia tenggara khususnya di Vietnam, Filipina, Laos dan Kamboja. Kelompok yang ditengarai memiliki sumber daya yang kuat ini diduga berasal dari Vietnam, dikenal karena mengintegrasikan kreasi mereka sendiri dengan teknik tertentu yang menuai banyak keberhasilan.

OceanLotus tentu saja tidak akan puas dengan apa yang telah mereka peroleh selama ini, mereka masih terus bergerak aktif dalam cyberspionage, pengintaian dan pencurian kekayaan intelektual.

Penelitian terbaru dari ESET diketahui bahwa kelompok ini memiliki backdoor berbahaya yang memberi akses dari jauh kepada operatornya ke perangkat yang dikompromikan. Backdoor berisi rangkaian fungsionalitas, terutama sejumlah alat untuk arsip, registry dan proses manipulasi, serta pemuatan komponen tambahan.

Untuk menyelundupkan backdoor ke mesin yang ditargetkan, kelompok tersebut menggunakan dua tahap serangan dimana paket pertama mendapat pijakan pada sistem dan menyiapkan segala sesuatunya untuk backdoor itu sendiri. Proses ini melibatkan beberapa tipu daya yang umumnya terkait dengan korban yang menjadi target operasi.

Tipu Daya OceanLotus

Serangan biasanya kemungkinan besar dimulai melalui email spearphishing untuk memancing korban yang dituju agar menjalankan dropper berbahaya, yang dilampirkan ke email. Untuk meningkatkan kemungkinan korban yang tidak menaruh curiga akan benar-benar mengekliknya, pelaku menyamarkannya sebagai dokumen atau spreadsheet dengan menampilkan ikon palsu.

Ketika korban mengklik lampiran, dropper membuka dokumen yang dilindungi kata sandi sebagai cara untuk mengalihkan perhatian korban sementara dropper menjalankan aktivitas jahatnya. Jadi tidak ada eksploitasi perangkat lunak yang dibutuhkan.

Pelaku menggunakan sejumlah dokumen umpan. Untuk meningkatkan keasliannya, setiap file memiliki nama yang dibuat hati-hati dan biasanya bahasa Inggris. ESET sebagai antivirus terbaik dan antivirus super ringan mampu mendeteksi file dan mengenalinya sebagai Win32/ TrojanDropper.Agent.RUI.

Selain itu, OceanLotus juga dikenal menggunakan serangan watering hole, yang melibatkan kompromi sebuah situs web yang kemungkinan akan dikunjungi korban. Dalam skenario ini, mangsa ditipu untuk mengunduh dan menjalankan installer atau update palsu untuk perangkat lunak populer dari situs web jebakan. Apapun metode kompromi, akhirnya backdoor yang sama dikerahkan.

Menurut analisis ESET, teknik watering hole mungkin telah digunakan untuk mendistribusikan dropper yang disebut RobototFontUpdate.exe, yang merupakan updater palsu untuk font reguler Roboto Slab dan fitur.

Komponen paket dropper dijalankan dalam beberapa langkah; setiap tahap melibatkan dosis kode yang berat yang dirancang untuk melindungi malware dari deteksi. Untuk mengarahkan para periset dan perangkat lunak anti-malware agar tertipu, beberapa kode sampah juga disertakan.

Jika dijalankan dengan hak istimewa administrator, dropper akan membuat Windows service yang akan membuatnya mampu bertahan dalam sistem meski di-reboot sekalipun. Jika tidak, tujuan yang sama dicapai dengan merusak registri sistem operasi.

Selain itu, paket tersebut menjatuhkan aplikasi yang tujuan utamanya adalah untuk menghapus dokumen umpan setelah memenuhi misinya.

OceanLotus

Yang paling penting, dua file lagi di-drop dan mulai dimainkan selama tahap ini, lalu sebuah executable yang ditandatangani secara digital dari pengembang perangkat lunak utama dan yang sah dan Dynamic Link Library (DLL) yang berbahaya dinamai sesuai dengan yang digunakan oleh executable yang sah.

Dua file dalam sebuah trik coba-coba disebut DLL side-loading yang terdiri dari mengkooptasi proses aplikasi library loading yang sah dengan menanam DLL jahat di dalam folder yang sama dengan yang dapat ditandatangani. Ini adalah cara untuk tetap berada di bawah radar, karena aplikasi tepercaya dengan tanda tangan yang sah cenderung meminimalisasi kecurigaan.

Dalam oeprasi yang menggunakan alat OceanLotus baru ini, ESET melihat penyebaran antara lain, executable asli RasTlsc.exe dari Symantec dan mcoemcpy.exe dari McAfee. Saat dijalankan, program-program ini memasukkan rastls.dll yang telah disediakan, yang terdeteksi oleh ESET sebagai Win32/Salgorea.BD dan McUtil.dll terdeteksi sebagai Win32/Korplug.MK.

Backdoor Terbuka

Setelah didekripsi, backdoor mengambil sidik jari dari sistem. Ia mengirimkan berbagai data seperti nama komputer dan pengguna dan versi sistem operasi, sebelum menunggu perintah untuk menjalankan misi utamanya.

Sejumlah nama domain dan alamat IP digunakan untuk infrastruktur command and control (C&C). Semua komunikasi dengan server C&C dienkripsi. Hal ini agar tidak mudah untuk diacak, namun begitu kunci dekripsi ditambahkan ke data.

Penelitian ESET yang mendalam terhadap operasi perampokan terbaru OceanLotus menunjukkan bahwa kelompok tersebut tidak membiarkan upayanya dan menggabungkan kode yang sah dan alat yang tersedia untuk umum dengan ciptaannya yang berbahaya. Kelompok ini dengan jelas berusaha keras untuk melewati deteksi malware dan mengelabui para peneliti keamanan siber.

Tags: Antivirus Super Ringan APPT BacaPikirshare backdoor ESET ANtivirus Terbaik Keamanan Komputer OceanLotus Sindikat Penjahat

Continue Reading

Previous: Ransomware Qwerty
Next: Hati-hati Mengunduh di download.cnet.com, Bahaya!!

Related Stories

Pengguna Windows Hati-hati Ancaman Siber Ini Pengguna Windows Hati-hati Ancaman Siber Ini
3 min read
  • Sektor Personal
  • Teknologi

Pengguna Windows Hati-hati Ancaman Siber Ini

September 11, 2025
Pentingnya Enkripsi Data untuk Melindungi Bisnis Pentingnya Enkripsi Data untuk Melindungi Bisnis
3 min read
  • Teknologi

Pentingnya Enkripsi Data untuk Melindungi Bisnis

September 9, 2025
Dunia Siber Cemas Kekuatan AI Terpadu Mengancam Dunia Siber Cemas Kekuatan AI Terpadu Mengancam
3 min read
  • Teknologi

Dunia Siber Cemas Kekuatan AI Terpadu Mengancam

September 9, 2025

Recent Posts

  • Mengenali dan Menghindari Jebakan Penipuan Digital
  • Pengguna Windows Hati-hati Ancaman Siber Ini
  • Malvertising Canggih Manfaatkan Iklan Berbayar
  • Ancaman Siber Baru yang Merusak Server Windows
  • Pentingnya Enkripsi Data untuk Melindungi Bisnis
  • Dunia Siber Cemas Kekuatan AI Terpadu Mengancam
  • WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click
  • AwanPintar.id® Laporan Ancaman Digital Semester 1 tahun 2025
  • Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
  • Iklan Palsu di Meta Sebarkan Malware Infostealer

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengenali dan Menghindari Jebakan Penipuan Digital Mengenali dan Menghindari Jebakan Penipuan Digital
6 min read
  • Sektor Personal

Mengenali dan Menghindari Jebakan Penipuan Digital

September 11, 2025
Pengguna Windows Hati-hati Ancaman Siber Ini Pengguna Windows Hati-hati Ancaman Siber Ini
3 min read
  • Sektor Personal
  • Teknologi

Pengguna Windows Hati-hati Ancaman Siber Ini

September 11, 2025
Malvertising Canggih Manfaatkan Iklan Berbayar Mengenal Malvertising
3 min read
  • Sektor Personal

Malvertising Canggih Manfaatkan Iklan Berbayar

September 10, 2025
Ancaman Siber Baru yang Merusak Server Windows Ancaman Siber Baru yang Merusak Server Windows
4 min read
  • Sektor Bisnis

Ancaman Siber Baru yang Merusak Server Windows

September 10, 2025

Copyright © All rights reserved. | DarkNews by AF themes.