Cyberthreat.id – Kelompok ancaman persisten tingkat lanjut (APT) memanfaatkan pandemi virus corona (Covid-19) untuk menginfeksi korban dengan malware yang sebelumnya tidak dikenal. Kelompok APT di kalangan peneliti keamanan siber sering ditengarai sebagai peretas (hacker) yang mendapat dukungan oleh sebuah negara.

Dalam aksi kali ini, peneliti menemukan serangan malware “Vicious Panda”. Peneliti mengidentifikasi dua file Rich Text Format (format file teks yang digunakan oleh produk Microsoft) yang menargetkan sektor publik Mongolia.

Setelah dibuka, trojan akses jauh (RAT) khusus dan unik dijalankan yang mengambil tangkapan layar perangkat, mengembangkan daftar file dan direktori, mengunduh file, dan lainnya.

"Dalam aksi tersebut, kami mengamati terbaru dari operasi yang berbasis China dan tampaknya berjalan sejak lama menargetkan berbagai pemerintah dan organisasi di seluruh dunia. Aksi mereka memanfaatkan pandemi Cvid-19,” kata para peneliti Check Point Research seperti dikutip dari ThreatPost yang diakses Senin (16 Maret 2020).

---

Berita Terkait:

• Jenis-jenis Email Phishing Berkedok Covid-19
• Tiga Negara Ini Disebut Sponsori Hacker Dompleng Isu Corona
• Awas, Malware AZORult Tunggangi Peta Sebaran Virus Corona

---

Menurut peneliti, aktor serangan tersebut dilakukan melalui email-email palsu yang menyamar dari Kementerian Luar Negeri Mongolia. Email itu berisi pesan tentang prevalensi infeksi Covid-19 baru.

File RTF yang dilampirkan ke email telah dipersenjatai menggunakan alat bernama “RoyalRoad”. Alat ini, umumnya digunakan oleh berbagai aktor ancaman China, memungkinkan penyerang untuk membuat dokumen yang disesuaikan dengan objek tertanam; mengeksploitasi kerentanan yang tidak ditentukan dalam “Equation Editor”—alat untuk membangun persamaan kompleks dalam Ms Word.

Setelah korban membuka dokumen RTF yang dibuat khusus, dan kerentanan Ms Word dieksploitasi, file jahat (intel.wll) dijatuhkan ke folder startup Microsoft Word (% APPDATA% \ Microsoft \ Word \ STARTUP).

File, intel.wll, kemudian mengunduh file DLL, yang berfungsi sebagai pemuat untuk malware, dan yang juga berkomunikasi dengan server perintah-dan-kontrol (C2) aktor ancaman.

---

Berita Terkait:

• Serangan Siber Hantam Pusat Pengujian Virus Corona
• Ransomware CovidLock Serang Ponsel Android Berkedok Covid-19
• Awas! Ada Ransomware Baru CoronaVirus Menyasar Windows

---

“Aktor ancaman mengoperasikan server C&C dalam jendela harian yang terbatas, online hanya selama beberapa jam setiap hari, membuatnya lebih sulit untuk menganalisis dan mendapatkan akses ke bagian lanjutan dari rantai infeksi,” kata peneliti.

Ketika melihat atribusi, peneliti membandingkan aksi tersebut dengan serangan pada 2017, di mana aktor ancaman menargetkan pemerintah Belarusia menggunakan trojan CMSTAR. Peneliti mengatakan menemukan kesamaan infrastruktur dan kode dalam muatan antara kedua aksi penjahat tersebut.

Melihat temuan itu, peneliti memprediksi penjahat tersebut telah memulai operasi jahatnya sejak 2016 yang menargetkan berbagai sektor di berbagai negara, seperti Ukraina, Rusia, dan Belarusia.[]