Cyberthreat.id - Serangan dunia maya berasal dari China menargetkan sektor perjudian Asia Tenggara untuk menyebarkan suar Cobalt Strike pada sistem yang disusupi. Demikian laporan The Hacker News.

Perusahaan cybersecurity SentinelOne mengatakan taktik, teknik, dan prosedur menunjukkan keterlibatan pelaku ancaman yang dilacak sebagai Bronze Starlight (alias Emperor Dragonfly atau Storm-0401), yang telah dikaitkan dengan penggunaan keluarga ransomware berumur pendek sebagai tabir asap untuk menyembunyikan motif spionase.

"Aktor ancaman menyalahgunakan Adobe Creative Cloud, Microsoft Edge, dan McAfee VirusScan yang dapat dieksekusi rentan terhadap pembajakan DLL untuk menyebarkan beacon Cobalt Strike," kata peneliti keamanan Aleksandar Milenkoski dan Tom Hegel dalam analisis yang diterbitkan hari ini sebagaimana dikutip The Hacker News.

Perlu dicatat juga bahwa pameran kampanye tumpang tindih dengan set intrusi yang dipantau oleh ESET dengan nama Operasi ChattyGoblin.

Kegiatan ini, pada gilirannya, berbagi kesamaan dengan serangan rantai pasokan yang terungkap tahun lalu dengan memanfaatkan penginstal trojan untuk aplikasi Obrolan Langsung Comm100 untuk mendistribusikan backdoor JavaScript.

Atribusi ke grup yang tepat tetap menjadi tantangan karena hubungan yang saling berhubungan dan infrastruktur yang luas serta berbagi malware yang lazim di antara berbagai aktor negara-bangsa China.

Serangan tersebut diketahui menggunakan penginstal yang dimodifikasi untuk aplikasi obrolan untuk mengunduh pemuat malware .NET yang dikonfigurasi untuk mengambil arsip ZIP tahap kedua dari keranjang Alibaba.

File ZIP terdiri dari executable sah yang rentan terhadap pembajakan perintah pencarian DLL, DLL jahat yang dimuat di samping oleh executable saat dimulai, dan file data terenkripsi bernama agent.data.

Secara khusus, ini memerlukan penggunaan Adobe Creative Cloud, Microsoft Edge, dan McAfee VirusScan yang dapat dieksekusi yang rentan terhadap pembajakan DLL untuk mendekripsi dan mengeksekusi kode yang disematkan dalam file data, yang mengimplementasikan beacon Cobalt Strike.

"Pemuat dijalankan melalui pemuatan samping oleh file yang dapat dieksekusi yang sah yang rentan terhadap pembajakan DLL dan menampilkan muatan yang disimpan dalam file terenkripsi," kata para peneliti.

Salah satu aspek penting dari kampanye ini adalah upaya yang gagal untuk menghentikan eksekusi loader jika dijalankan pada mesin yang berlokasi di negara-negara seperti Kanada, Prancis, Jerman, India, Rusia, Inggris Raya, dan AS. Mekanisme geofencing bersifat simbolis dari fokus serangan yang sempit.

SentinelOne mengatakan salah satu pemuat malware .NET ("AdventureQuest.exe") ditandatangani menggunakan sertifikat yang dikeluarkan untuk penyedia VPN yang berbasis di Singapura bernama Ivacy VPN, yang mengindikasikan pencurian kunci penandatanganan di beberapa titik. Digitcert sejak itu mencabut sertifikat pada Juni 2023.

File DLL yang dimuat di samping adalah varian HUI Loader, pemuat malware khusus yang telah banyak digunakan oleh grup berbasis di China seperti APT10, Bronze Starlight, dan TA410. APT10 dan TA410 dikatakan berbagi perilaku dan peralatan yang tumpang tindih satu sama lain, dengan yang sebelumnya juga terkait dengan kluster lain yang disebut sebagai Earth Tengshe.

“Aktor ancaman China-nexus secara konsisten berbagi malware, infrastruktur, dan taktik operasional di masa lalu, dan terus melakukannya,” kata para peneliti, menambahkan aktivitas tersebut “menggambarkan sifat rumit lanskap ancaman China.”[]