Cyberthreat.id – Perusahaan keamanan siber, Kaspersky mengungkapkan bahwa para peretas sedang menargetkan sistem kontrol industri (ICS) di berbagai negara Asia dengan memanfaatkan backdoor Shadowpad.

Dikutip dari Info Security Magazine, kampanye serangan ini dilakukan dengan memanfaatkan server Microsoft Exchange yang belum diperbaiki diberbagai negara di Asia. Di mana, setelah peretas memperoleh akses awal melalui kerentanan di atas, pelaku ancaman menyebarkan malware ShadowPad pada ICS perusahaan telekomunikasi di Pakistan dan Afghanistan dan logistik dan organisasi transportasi. di Malaysia.

Kaspersky mengatakan pertama kali melihat ancaman itu pada Oktober 2021, dengan peretas mengeksploitasi kerentanan CVE-2021-26855 di Microsoft Exchange. Namun, tanda-tanda serangan pada sistem yang terpengaruh tampaknya sudah ada sejak Maret 2021.

“Selama penyelidikan, para peneliti menemukan aktivitas skala besar oleh aktor ancaman di jaringan perusahaan telekomunikasi dan juga mengidentifikasi korban kampanye lainnya,” kata Kaspersky.

Sepanjang kampanye serangan, backdoor ShadowPad dilaporkan diunduh ke komputer korban sebagai file mscoree.dll, yang, pada gilirannya, diluncurkan oleh file eksekusi sah bernama AppLaunch.exe. Peretas kemudian akan meluncurkan ShadowPad menggunakan pembajakan DLL di OleView, aplikasi tampilan objek OLE-COM yang sah.

“Begitu mereka mendapatkan pijakan awal ke dalam sistem, pelaku ancaman akan mengirim perintah secara manual, lalu secara otomatis,” kata Kaspersky.

Sementara itu, alat tambahan yang digunakan oleh peretas selama serangan cyber ini dilaporkan termasuk kerangka kerja CobaltStrike, pintu belakang PlugX dan berbagai file BAT. Daftar lengkap tersedia dalam teks asli nasihat tersebut. Dalam hal atribusi, Kaspersky mengatakan serangan yang baru diidentifikasi pada berbagai organisasi memiliki serangkaian taktik, teknik, dan prosedur (TTP) yang hampir sepenuhnya unik.

Menurut Kaspersky, TTP penyerang memungkinkan peneliti untuk menghubungkan serangan ini dengan aktor ancaman berbahasa Mandarin, dan kami mengamati korban yang berada di berbagai wilayah. Ini berarti bahwa aktor yang telah kami identifikasi mungkin memiliki kepentingan geografis yang lebih luas dan kami dapat mengharapkan lebih banyak korban ditemukan di berbagai negara di masa depan.”

Namun, pada saat penulisan artikel ini, perusahaan antivirus tersebut mengatakan bahwa mereka tidak dapat memastikan tujuan akhir penyerang, tetapi mereka pikir itu mungkin pengumpulan data.

“Kami percaya bahwa kemungkinan besar aktor ancaman ini akan menyerang lagi dan kami akan menemukan korban baru di berbagai negara,” tutup Kaspersky.