Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • OceanLotus Sindikat APT Berbahaya
  • Teknologi

OceanLotus Sindikat APT Berbahaya

3 min read

Credit image: Pixabay

OceanLotus yang juga dijuluki sebagai APT32 dan APT-C-00 adalah kelompok APT (Advanced Persistent Threat) yang selama beberapa tahun terakhir telah melakukan operasi pengintaian digital canggih, membangun infrastruktur serangan besar-besaran dari situs web yang mereka kuasai.

OceanLotus memasang target tinggi terhadap sasaran-sasaran high profile seperti korporat dan pemerintahan di Asia tenggara khususnya di Vietnam, Filipina, Laos dan Kamboja. Kelompok yang ditengarai memiliki sumber daya yang kuat ini diduga berasal dari Vietnam, dikenal karena mengintegrasikan kreasi mereka sendiri dengan teknik tertentu yang menuai banyak keberhasilan.

OceanLotus tentu saja tidak akan puas dengan apa yang telah mereka peroleh selama ini, mereka masih terus bergerak aktif dalam cyberspionage, pengintaian dan pencurian kekayaan intelektual.

Penelitian terbaru dari ESET diketahui bahwa kelompok ini memiliki backdoor berbahaya yang memberi akses dari jauh kepada operatornya ke perangkat yang dikompromikan. Backdoor berisi rangkaian fungsionalitas, terutama sejumlah alat untuk arsip, registry dan proses manipulasi, serta pemuatan komponen tambahan.

Untuk menyelundupkan backdoor ke mesin yang ditargetkan, kelompok tersebut menggunakan dua tahap serangan dimana paket pertama mendapat pijakan pada sistem dan menyiapkan segala sesuatunya untuk backdoor itu sendiri. Proses ini melibatkan beberapa tipu daya yang umumnya terkait dengan korban yang menjadi target operasi.

Tipu Daya OceanLotus

Serangan biasanya kemungkinan besar dimulai melalui email spearphishing untuk memancing korban yang dituju agar menjalankan dropper berbahaya, yang dilampirkan ke email. Untuk meningkatkan kemungkinan korban yang tidak menaruh curiga akan benar-benar mengekliknya, pelaku menyamarkannya sebagai dokumen atau spreadsheet dengan menampilkan ikon palsu.

Ketika korban mengklik lampiran, dropper membuka dokumen yang dilindungi kata sandi sebagai cara untuk mengalihkan perhatian korban sementara dropper menjalankan aktivitas jahatnya. Jadi tidak ada eksploitasi perangkat lunak yang dibutuhkan.

Pelaku menggunakan sejumlah dokumen umpan. Untuk meningkatkan keasliannya, setiap file memiliki nama yang dibuat hati-hati dan biasanya bahasa Inggris. ESET sebagai antivirus terbaik dan antivirus super ringan mampu mendeteksi file dan mengenalinya sebagai Win32/ TrojanDropper.Agent.RUI.

Selain itu, OceanLotus juga dikenal menggunakan serangan watering hole, yang melibatkan kompromi sebuah situs web yang kemungkinan akan dikunjungi korban. Dalam skenario ini, mangsa ditipu untuk mengunduh dan menjalankan installer atau update palsu untuk perangkat lunak populer dari situs web jebakan. Apapun metode kompromi, akhirnya backdoor yang sama dikerahkan.

Menurut analisis ESET, teknik watering hole mungkin telah digunakan untuk mendistribusikan dropper yang disebut RobototFontUpdate.exe, yang merupakan updater palsu untuk font reguler Roboto Slab dan fitur.

Komponen paket dropper dijalankan dalam beberapa langkah; setiap tahap melibatkan dosis kode yang berat yang dirancang untuk melindungi malware dari deteksi. Untuk mengarahkan para periset dan perangkat lunak anti-malware agar tertipu, beberapa kode sampah juga disertakan.

Jika dijalankan dengan hak istimewa administrator, dropper akan membuat Windows service yang akan membuatnya mampu bertahan dalam sistem meski di-reboot sekalipun. Jika tidak, tujuan yang sama dicapai dengan merusak registri sistem operasi.

Selain itu, paket tersebut menjatuhkan aplikasi yang tujuan utamanya adalah untuk menghapus dokumen umpan setelah memenuhi misinya.

OceanLotus

Yang paling penting, dua file lagi di-drop dan mulai dimainkan selama tahap ini, lalu sebuah executable yang ditandatangani secara digital dari pengembang perangkat lunak utama dan yang sah dan Dynamic Link Library (DLL) yang berbahaya dinamai sesuai dengan yang digunakan oleh executable yang sah.

Dua file dalam sebuah trik coba-coba disebut DLL side-loading yang terdiri dari mengkooptasi proses aplikasi library loading yang sah dengan menanam DLL jahat di dalam folder yang sama dengan yang dapat ditandatangani. Ini adalah cara untuk tetap berada di bawah radar, karena aplikasi tepercaya dengan tanda tangan yang sah cenderung meminimalisasi kecurigaan.

Dalam oeprasi yang menggunakan alat OceanLotus baru ini, ESET melihat penyebaran antara lain, executable asli RasTlsc.exe dari Symantec dan mcoemcpy.exe dari McAfee. Saat dijalankan, program-program ini memasukkan rastls.dll yang telah disediakan, yang terdeteksi oleh ESET sebagai Win32/Salgorea.BD dan McUtil.dll terdeteksi sebagai Win32/Korplug.MK.

Backdoor Terbuka

Setelah didekripsi, backdoor mengambil sidik jari dari sistem. Ia mengirimkan berbagai data seperti nama komputer dan pengguna dan versi sistem operasi, sebelum menunggu perintah untuk menjalankan misi utamanya.

Sejumlah nama domain dan alamat IP digunakan untuk infrastruktur command and control (C&C). Semua komunikasi dengan server C&C dienkripsi. Hal ini agar tidak mudah untuk diacak, namun begitu kunci dekripsi ditambahkan ke data.

Penelitian ESET yang mendalam terhadap operasi perampokan terbaru OceanLotus menunjukkan bahwa kelompok tersebut tidak membiarkan upayanya dan menggabungkan kode yang sah dan alat yang tersedia untuk umum dengan ciptaannya yang berbahaya. Kelompok ini dengan jelas berusaha keras untuk melewati deteksi malware dan mengelabui para peneliti keamanan siber.

Tags: Antivirus Super Ringan APPT BacaPikirshare backdoor ESET ANtivirus Terbaik Keamanan Komputer OceanLotus Sindikat Penjahat

Continue Reading

Previous: Ransomware Qwerty
Next: Hati-hati Mengunduh di download.cnet.com, Bahaya!!

Related Stories

Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.