Mata-mata siber bergerak menyusup dengan beragam cara, seperti trik terbaru dimana spionase menyelinap melalui WPS Office untuk memata-matai di beberapa kawasan.
Aktor ancaman tingkat lanjut yang sebelumnya tidak dikenal dan dilacak sebagai ‘Blackwood’ menggunakan malware canggih yang disebut NSPX30 dalam serangan spionase dunia maya terhadap perusahaan dan individu.
Mereka telah aktif sejak tahun 2018 menggunakan malware NSPX30, sebuah implan dengan basis kode yang berakar pada backdoor sederhana dari tahun 2005, setelah serangan Adversary in the Middle (AitM).
Baca juga: Mata-mata Siber Mengincar Asia |
BlackWood & NSPX30
Para peneliti ESET menemukan implan Blackwood dan NSPX30 dalam sebuah operasi pada tahun 2020 dan percaya bahwa aktivitas kelompok tersebut selaras dengan kepentingan negara Tiongkok.
Target Blackwood berada di Asia dan Eropa dan mengirimkan malware melalui mekanisme pembaruan perangkat lunak yang sah seperti:
- WPS Office (office suite).
- Platform pesan instan Tencent QQ.
- Editor dokumen Sogou Pinyin.
Menurut para peneliti, pelaku ancaman melakukan serangan AitM dan mencegat lalu lintas yang dihasilkan oleh NSPX30 untuk menyembunyikan aktivitasnya dan menyembunyikan server perintah dan kontrol (C2).
ESET juga mencatat bahwa Blackwood mungkin berbagi akses dengan grup APT Tiongkok lainnya, karena mereka mengamati sistem satu perusahaan menjadi sasaran perangkat yang terkait dengan banyak aktor, misalnya. Evasive Panda, LuoYu, dan LittleBear.
Baca juga: POLONIUM Grup Peretas Spionase |
Asal dan Evolusi NSPX30
NSPX30 adalah implan canggih berdasarkan kode dari backdoor pada tahun 2005 bernama ‘Project Wood’ yang memiliki kemampuan dasar untuk mengumpulkan data sistem, keylogging, dan mengambil tangkapan layar.
Di antara implan lain yang muncul dari Project Wood adalah DCM (Dark Spectre), yang pertama kali terlihat pada tahun 2008, dengan berbagai peningkatan fungsi.
ESET percaya bahwa NSPX30 berevolusi dari DCM dengan sampel malware pertama yang diketahui didokumentasikan pada tahun 2018.
Tidak seperti pendahulunya, NSPX30 dicirikan oleh arsitektur multistage, yang mencakup:
- Komponen seperti dropper.
- Penginstal DLL dengan kemampuan bypass UAC yang luas, loader, orkestrator, dan backdoor, masing-masing dengan kumpulan pluginnya sendiri.
NSPX30 menunjukkan kemajuan teknis yang signifikan, dengan kemampuan intersepsi paket untuk menyembunyikan infrastrukturnya.
Sehingga memungkinkannya beroperasi secara diam-diam. Ia juga memiliki mekanisme yang menambahkannya ke daftar alat anti-malware Tiongkok yang mampu menghindari deteksi.
Fungsi utama NSPX30 adalah mengumpulkan informasi dari sistem yang dibobol, termasuk file, tangkapan layar, penekanan tombol, data perangkat keras dan jaringan, serta kredensial.
Backdoor juga dapat mencuri log obrolan dan daftar kontak dari:
- Tencent QQ.
- WeChat.
- Telegram.
- Skype.
- CloudChat.
- RaidCall.
- YY.
- AliWangWang.
Backdoor juga dapat menghentikan proses dengan PID, membuat shell terbalik, memindahkan file ke jalur tertentu, atau menghapus instalan dirinya sendiri dari sistem yang terinfeksi.
Baca juga: Serangan Supply Chain Perusak dan Spinase |
Serangan AitM
Aspek penting dari aktivitas Blackwood adalah kemampuan untuk menghadirkan NSPX30 dengan membajak permintaan pembaruan yang dibuat oleh perangkat lunak sah, termasuk:
- Tencent QQ.
- WPS Office.
- Sogou Pinyin.
Namun hal ini berbeda dengan kompromi rantai pasokan, karena Blackwood menyadap komunikasi HTTP yang tidak terenkripsi antara sistem korban dan server pembaruan dan melakukan intervensi untuk mengirimkan implan.
Mekanisme pasti yang memungkinkan Blackwood mencegat lalu lintas tersebut tidak diketahui. ESET berspekulasi bahwa hal ini mungkin dilakukan dengan menggunakan implan di jaringan target, mungkin pada peralatan yang rentan seperti router atau gateway.
Berdasarkan analisis, diyakini backdoor asli yang menjadi akar evolusi implan khusus NSPX30 tampaknya telah dikembangkan oleh pengembang malware yang terampil.
Laporan ESET memberikan banyak rincian teknis tentang malware dan cara kerjanya dan juga mencakup daftar indikator kompromi yang dapat digunakan oleh para pembela HAM untuk melindungi lingkungan mereka.
Demikian pembahasan mengenai spionase menyelinap melalui WPS Office, semoga informasi mengenai seputar dunia siber ini dapat bermanfaat.
Sumber berita: