Cyberthreat.id – Peneliti dari perusahaan keamanan siber Symantec mengungkapkan bahwa kelompok peretas atau APT asal Cina menyalahgunakan VLC Media Player untuk meluncurkan pemuat malware khusus.

Seperti dilaporkan Bleeping Computer, para peneliti mengatakan kampanye tersebut bertujuan untuk spionase siber dan menargetkan berbagai entitas yang terlibat dalam kegiatan pemerintah, hukum, dan keagamaan, serta organisasi non-pemerintah (LSM). Sementara itu, mereka menargetkan korban yang berada di AS, Kanada, Hong Kong, Turki, Israel, India, Montenegro, dan Italia.

“Aktivitas ini dikaitkan dengan aktor ancaman yang dilacak sebagai Cicada (alias menuPass, Panda Batu, Potassium, APT10, Red Apollo) yang telah sejak tahun 2006 lalu,” ungkap Brigid O Gorman dari Symantec Threat Hunter Team.

Awal kampanye Cicada ini telah dilacak hingga pertengahan 2021 dan kampanye tersebut masih aktif pada Februari 2022. Para peneliti mengatakan bahwa kampanye ini kemungkinan besar masih terus berlanjut hingga hari ini.

Berdasarkan bukti yang ada, beberapa akses awal ke beberapa jaringan yang dilanggar adalah melalui server Microsoft Exchange. Hal ini menunjukkan bahwa aktor tersebut mengeksploitasi kerentanan yang diketahui pada mesin yang belum diperbaiki.

“Kami juga menemukan, bahwa setelah mendapatkan akses ke mesin target, yang menggunakan pemuat khusus pada sistem yang disusupi dengan bantuan pemutar media VLC yang popular,” kata Gorman.

Gorman mengatakan, dalam kampanye ini para penyerang menggunakan versi bersih dari VLC dengan file DLL berbahaya di jalur yang sama dengan fungsi ekspor pemutar media. Teknik ini dikenal sebagai DLL side-loading, dan ecara luas digunakan oleh pelaku ancaman untuk memuat malware ke dalam proses yang sah untuk menyembunyikan aktivitas jahat.

Tidak hanya itu saja, para penyerang juga mengeksekusi pintu belakang Sodamaster pada jaringan yang disusupi. Sodamaster merupakan alat yang digunakan secara eksklusif oleh kelompok ancaman Cicada setidaknya sejak tahun 2020.

Sodamaster akan berjalan di memori sistem (tanpa file) dan dilengkapi untuk menghindari deteksi dengan mencari di registri untuk mencari petunjuk lingkungan sandbox atau dengan menunda eksekusinya. Malware juga akan mengumpulkan detail tentang sistem, mencari proses yang berjalan, dan mengunduh serta menjalankan berbagai muatan dari server perintah dan kontrol.

Gorman mengatakan ada beberapa utilitas lain telah diamati dalam kampanye ini meliputi;

• RAR archiving tool sebagai utilitas yang digunakan untuk membantu mengompres, mengenkripsi, atau mengarsipkan file, kemungkinan untuk eksfiltrasi.
• System/Network discovery merupakan utilitas yang menajadi salah satu cara bagi penyerang untuk mempelajari sistem atau layanan yang terhubung ke mesin yang terinfeksi.
• WMIExec merupakan alat baris perintah Microsoft yang dapat digunakan untuk menjalankan perintah pada komputer jarak jauh.

· NBTScan merupakan open source yang telah diamati digunakan oleh grup APT untuk mengintai  jaringan yang disusupi.[]