Cyberthreat.id - Peneliti cybersecurity di Check Point menemukan sebuah kelompok peretasan China bernama Rancor, sedang menyerang entitas pemerintah Asia Tenggara dari Desember 2018 hingga Juni 2019. Indonesia adalah salah satu negara di Asia Tenggara.

Disebutkan, selama periode serangan yang hingga kini sedang berlangsung itu, grup Rancor terus memperbarui tactics, tools, and procedures (TTP) berdasarkan target. Mereka berupaya menghasilkan konten email phishing senyaman mungkin dan memikat dokumen.

"Serangan yang diamati dimulai dengan email yang dikirim atas nama karyawan dari berbagai departemen pemerintah, kedutaan besar, atau entitas yang terkait dengan pemerintah di negara Asia Tenggara," begitu bunyi laporan yang diterbitkan CheckPoint dan diberikan khusus kepada The Hacker News sebelum rilis.

"Para penyerang tampaknya bertekad mencapai target tertentu, karena puluhan email dikirim ke karyawan di bawah kementerian yang sama. Selain itu, asal-usul email itu kemungkinan palsu untuk membuat mereka tampak lebih dapat diandalkan."

Taktik, Alat, dan Prosedur

Para peneliti menemukan kombinasi TTP yang berbeda berdasarkan waktu, pengiriman, kegigihan, dan muatannya, dan kemudian menggabungkannya menjadi 8 varian utama, seperti yang tercantum di bawah dalam artikel ini.

Setiap varian serangan dimulai dengan email spear-phishing klasik yang berisi dokumen jahat yang dirancang menjalankan dan mengeksploitasi kelemahan yang diketahui untuk menginstal pintu belakang pada mesin korban dan mendapatkan akses penuh ke sistem.
Sebagian besar dokumen pengiriman berisi topik resmi yang berkaitan dengan pemerintah, seperti instruksi untuk pegawai pemerintah, surat resmi, siaran pers, survei, dan banyak lagi, menyerupai kiriman dari pejabat pemerintah lainnya.

Menariknya, sebagai bagian dari rantai infeksi, penyerang juga membawa produk-produk antivirus utama mereka yang sah, ditandatangani, dan tepercaya untuk memuat file DLL’s (dynamic link library) berbahaya  secara terpisah untuk menghindari deteksi, terutama dari produk pemantauan perilaku.
Seperti yang ditunjukkan pada ilustrasi di atas, executable yang sah yang disalahgunakan milik produk antivirus termasuk komponen antivirus Avast, agen BitDefender dan Windows defender.

Meskipun rantai serangan melibatkan aktivitas tanpa filet seperti penggunaan makro VBA, kode PowerShell, dan alat bawaan Windows yang sah, kampanye ini tidak dirancang untuk mencapai pendekatan fileless, karena para peneliti mengatakan kepada The Hacker News bahwa bagian lain dari serangan mengekspos aktivitas berbahaya ke sistem file.

"Hingga saat ini, kami belum melihat serangan terus-menerus pada pemerintah; serangan yang sama ditargetkan selama 7 bulan. Kami percaya bahwa Pemerintah AS harus memperhatikan," kata para peneliti memperingatkan ketika dekat pemilihan AS.

"Untuk menyerang Pemerintah AS, peretas Tiongkok ini tidak perlu banyak berubah, kecuali membuat dokumen iming-iming mereka semua dalam bahasa Inggris, dan memasukkan tema yang akan memicu minat korban sehingga korban akan membuka file."

The Hacker News menuliskan, kelompok peretasan sebelumnya telah ditemukan menyerang Kamboja dan Singapura dan melanjutkan operasinya terhadap entitas di kawasan Asia Tenggara, dan kali ini kelompok itu telah berupaya selama 7 bulan untuk menargetkan sektor pemerintah Asia Tenggara.

"Kami mengharapkan grup untuk terus berevolusi, terus-menerus mengubah TTP mereka dengan cara yang sama seperti yang kami amati selama kampanye, serta mendorong upaya mereka untuk mem-bypass produk keamanan dan menghindari atribusi," para peneliti menyimpulkan.

Untuk mempelajari lebih lanjut tentang grup Rancor dan kampanye terbarunya, Anda bisa menuju ke laporan CheckPoint berjudul, "Rancor: The Year of the Phish."[]