Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • OceanLotus Sindikat APT Berbahaya
  • Teknologi

OceanLotus Sindikat APT Berbahaya

3 min read

Credit image: Pixabay

OceanLotus yang juga dijuluki sebagai APT32 dan APT-C-00 adalah kelompok APT (Advanced Persistent Threat) yang selama beberapa tahun terakhir telah melakukan operasi pengintaian digital canggih, membangun infrastruktur serangan besar-besaran dari situs web yang mereka kuasai.

OceanLotus memasang target tinggi terhadap sasaran-sasaran high profile seperti korporat dan pemerintahan di Asia tenggara khususnya di Vietnam, Filipina, Laos dan Kamboja. Kelompok yang ditengarai memiliki sumber daya yang kuat ini diduga berasal dari Vietnam, dikenal karena mengintegrasikan kreasi mereka sendiri dengan teknik tertentu yang menuai banyak keberhasilan.

OceanLotus tentu saja tidak akan puas dengan apa yang telah mereka peroleh selama ini, mereka masih terus bergerak aktif dalam cyberspionage, pengintaian dan pencurian kekayaan intelektual.

Penelitian terbaru dari ESET diketahui bahwa kelompok ini memiliki backdoor berbahaya yang memberi akses dari jauh kepada operatornya ke perangkat yang dikompromikan. Backdoor berisi rangkaian fungsionalitas, terutama sejumlah alat untuk arsip, registry dan proses manipulasi, serta pemuatan komponen tambahan.

Untuk menyelundupkan backdoor ke mesin yang ditargetkan, kelompok tersebut menggunakan dua tahap serangan dimana paket pertama mendapat pijakan pada sistem dan menyiapkan segala sesuatunya untuk backdoor itu sendiri. Proses ini melibatkan beberapa tipu daya yang umumnya terkait dengan korban yang menjadi target operasi.

Tipu Daya OceanLotus

Serangan biasanya kemungkinan besar dimulai melalui email spearphishing untuk memancing korban yang dituju agar menjalankan dropper berbahaya, yang dilampirkan ke email. Untuk meningkatkan kemungkinan korban yang tidak menaruh curiga akan benar-benar mengekliknya, pelaku menyamarkannya sebagai dokumen atau spreadsheet dengan menampilkan ikon palsu.

Ketika korban mengklik lampiran, dropper membuka dokumen yang dilindungi kata sandi sebagai cara untuk mengalihkan perhatian korban sementara dropper menjalankan aktivitas jahatnya. Jadi tidak ada eksploitasi perangkat lunak yang dibutuhkan.

Pelaku menggunakan sejumlah dokumen umpan. Untuk meningkatkan keasliannya, setiap file memiliki nama yang dibuat hati-hati dan biasanya bahasa Inggris. ESET sebagai antivirus terbaik dan antivirus super ringan mampu mendeteksi file dan mengenalinya sebagai Win32/ TrojanDropper.Agent.RUI.

Selain itu, OceanLotus juga dikenal menggunakan serangan watering hole, yang melibatkan kompromi sebuah situs web yang kemungkinan akan dikunjungi korban. Dalam skenario ini, mangsa ditipu untuk mengunduh dan menjalankan installer atau update palsu untuk perangkat lunak populer dari situs web jebakan. Apapun metode kompromi, akhirnya backdoor yang sama dikerahkan.

Menurut analisis ESET, teknik watering hole mungkin telah digunakan untuk mendistribusikan dropper yang disebut RobototFontUpdate.exe, yang merupakan updater palsu untuk font reguler Roboto Slab dan fitur.

Komponen paket dropper dijalankan dalam beberapa langkah; setiap tahap melibatkan dosis kode yang berat yang dirancang untuk melindungi malware dari deteksi. Untuk mengarahkan para periset dan perangkat lunak anti-malware agar tertipu, beberapa kode sampah juga disertakan.

Jika dijalankan dengan hak istimewa administrator, dropper akan membuat Windows service yang akan membuatnya mampu bertahan dalam sistem meski di-reboot sekalipun. Jika tidak, tujuan yang sama dicapai dengan merusak registri sistem operasi.

Selain itu, paket tersebut menjatuhkan aplikasi yang tujuan utamanya adalah untuk menghapus dokumen umpan setelah memenuhi misinya.

OceanLotus

Yang paling penting, dua file lagi di-drop dan mulai dimainkan selama tahap ini, lalu sebuah executable yang ditandatangani secara digital dari pengembang perangkat lunak utama dan yang sah dan Dynamic Link Library (DLL) yang berbahaya dinamai sesuai dengan yang digunakan oleh executable yang sah.

Dua file dalam sebuah trik coba-coba disebut DLL side-loading yang terdiri dari mengkooptasi proses aplikasi library loading yang sah dengan menanam DLL jahat di dalam folder yang sama dengan yang dapat ditandatangani. Ini adalah cara untuk tetap berada di bawah radar, karena aplikasi tepercaya dengan tanda tangan yang sah cenderung meminimalisasi kecurigaan.

Dalam oeprasi yang menggunakan alat OceanLotus baru ini, ESET melihat penyebaran antara lain, executable asli RasTlsc.exe dari Symantec dan mcoemcpy.exe dari McAfee. Saat dijalankan, program-program ini memasukkan rastls.dll yang telah disediakan, yang terdeteksi oleh ESET sebagai Win32/Salgorea.BD dan McUtil.dll terdeteksi sebagai Win32/Korplug.MK.

Backdoor Terbuka

Setelah didekripsi, backdoor mengambil sidik jari dari sistem. Ia mengirimkan berbagai data seperti nama komputer dan pengguna dan versi sistem operasi, sebelum menunggu perintah untuk menjalankan misi utamanya.

Sejumlah nama domain dan alamat IP digunakan untuk infrastruktur command and control (C&C). Semua komunikasi dengan server C&C dienkripsi. Hal ini agar tidak mudah untuk diacak, namun begitu kunci dekripsi ditambahkan ke data.

Penelitian ESET yang mendalam terhadap operasi perampokan terbaru OceanLotus menunjukkan bahwa kelompok tersebut tidak membiarkan upayanya dan menggabungkan kode yang sah dan alat yang tersedia untuk umum dengan ciptaannya yang berbahaya. Kelompok ini dengan jelas berusaha keras untuk melewati deteksi malware dan mengelabui para peneliti keamanan siber.

Tags: Antivirus Super Ringan APPT BacaPikirshare backdoor ESET ANtivirus Terbaik Keamanan Komputer OceanLotus Sindikat Penjahat

Continue Reading

Previous: Ransomware Qwerty
Next: Hati-hati Mengunduh di download.cnet.com, Bahaya!!

Related Stories

Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025
Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
4 min read
  • Teknologi

Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri

June 19, 2025

Recent Posts

  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu
  • Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
  • Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
XSS Ancaman Tersembunyi di Webmail XSS Ancaman Tersembunyi di Webmail
4 min read
  • Sektor Bisnis
  • Sektor Personal

XSS Ancaman Tersembunyi di Webmail

June 24, 2025
Ratusan Malware di Github Incar Gamer dan Developer Ratusan Malware di Github Incar Gamer dan Developer
4 min read
  • Sektor Bisnis
  • Sektor Personal

Ratusan Malware di Github Incar Gamer dan Developer

June 24, 2025

Copyright © All rights reserved. | DarkNews by AF themes.