Cyberthreat.id- Peneliti keamanan dari perusahaan siber security ESET, mengungkapkan laporan terbaru, terkait ancaman siber yang dilancarkan oleh peretas dari China yang ditujukan kepada Universitas-Universitas di HongKong.

Dilaporkan peretas China menggunakan backdor ShadowPad, lalu menyisipkan walware Winnti yang ditujukan kepada perangkat komputer di sejumlah Universitas di HongKong.

Grup Winnti ini setidaknya sudah mulai beroperasi sejak 2009, yang beroperasi di bawah payung yang sama dengan Axiom, Barium, Group 72, Blackfly, dan APT41.

Group ini pada umumnya menargetkan sektor penerbangan, game, farmasi, teknologi, telekomunikasi, dan pengembangan perangkat lunak dalam industri kampanye spionase dunia maya.

Peneliti ESET Mathieu Tartare mengungkapkan, pihaknya memang memberikan bantuan kepada beberapa universitas yang terkena dampak dalam memulihkan kompromi di perangkat mereka.

“Kami membantu mereka memulihkan kompromi. Dan, dari telemetri kami, sepertinya ancaman telah dinetralkan dengan baik. Namun, beberapa universitas yang kami hubungi tidak membalas dengan informasi apa pun. Jadi, kami tidak memiliki cara untuk memeriksa apakah mereka benar-benar dikompromikan atau tidak, dan jika itu masalahnya, apakah mereka masih ada, ”kata Tartare, seperti dikutip dari SecurityWeek, Selasa, (4 Februari 2020).

Tartare mengungkapkan,pihaknya menemukan URL pengidentifikasi kampanye dan perintah dan kontrol (C&C) yang digunakan dalam sampel malware ini menampilkan nama-nama universitas, yang menyarankan serangan yang ditargetkan.

Selain itu, format URL C&C yang digunakan membuat pihaknya percaya bahwa setidaknya tiga universitas HongKong lainnya mungkin telah dikompromikan.

Tartare menambahkan, backdor peluncur ShadowPad baru ini, jauh lebih sederhana dibandingkan dengan sampel malware yang dianalisis sebelumnya yang digunakan oleh Winnti Group, dan kemungkinan dieksekusi melalui DLL side-loading.

Backdoor ShadowPad menanamkan 17 modul, termasuk shellcode awal, loader modul, modul kegigihan, beberapa modul komunikasi, modul peniruan pengguna, penangan proses dan layanan, keylogger, tangkapan layar, dan modul untuk pendaftaran, sistem file, dan operasi baris perintah.

Tartare juga mengidentifikasi modul yang sebelumnya tidak berdokumen, yang disebut RecentFiles. Seperti namanya, ini dirancang untuk menyediakan daftar file yang baru diakses.

Setelah berdiri dan berjalan pada sistem yang dikompromikan, ShadowPad memulai proses Microsoft Windows Media Player (wmplayer.exe) yang disembunyikan dan ditangguhkan dan menyuntikkan dirinya ke dalamnya.

Selanjutnya, malware menghubungi server C&C menggunakan URL yang ditentukan dalam konfigurasi sampel malware ShadowPad dan Winnti yang ditemukan pada mesin di universitas yang ditargetkan menggunakan URL serupa.

“Bahwa sampel-sampel ini, selain ditemukan di universitas-universitas ini, berisi ID kampanye yang cocok dengan nama universitas dan menggunakan URL K&C yang berisi nama universitas adalah indikasi yang baik bahwa kampanye ini sangat ditargetkan,” ungkap Tartare.[]