Cyberthreat.id - Grup APT asal China diduga menggunakan varian baru malware MgBot untuk meningkatkan serangan ke India dan Hong Kong. Fakta ini diungkap peneliti MalwareByte yang menemukan APT asal China melakukan operasi serangan terbaru yang ditujukan ke lembaga pemerintah India dan penduduk Hong Kong untuk mencuri informasi sensitif.

Malwarebyte bukan sembarang tuduh. Peneliti mengaitkan serangan itu dengan APT China karena berhasil melacak aktivitas penjahat cyber berdasarkan operasi phishing unik yang dirancang untuk meretas target di dua negara tersebut.

Operator grup APT memanfaatkan Taktik, Teknik, dan Prosedur (TTP) yang berbeda. Misalnya menggunakan email spear-phishing untuk menjatuhkan varian Cobalt Strike dan MgBot malware, dan aplikasi Android palsu untuk mengumpulkan catatan panggilan, kontak, dan SMS.

"Mengingat ketegangan yang sedang berlangsung antara India dan China, serta undang-undang keamanan baru di Hong Kong, kami percaya kampanye baru ini dioperasikan oleh aktor yang disponsori negara China. Berdasarkan analisis kami, kami percaya ini mungkin grup APT yang telah aktif sejak 2014," demikian postinhan MalwareByte di blognya, Selasa (21 Juli 2020).

Serangan tersebut pertama kali diamati pada bulan Juli, bertepatan dengan diberlakukannya undang-undang keamanan yang kontroversial di Hong Kong serta larangan 59 aplikasi buatan China di India karena atas masalah privasi dan keamanan.

Tanggal 2 Juli, MalwareByte menemukan file arsip dengan dokumen tertanam yang berpura-pura berasal dari pemerintah India. File ini menggunakan injeksi template untuk menyisipkan template yang bermuatan varian Cobalt Strike.

Sehari setelahnya, kelompok APT ini mengubah template-nya dan menyisipkan loader bernama MgBot, lalu mengeksekusi, dan menyuntikkan muatan terakhirnya melalui penggunaan Layanan Manajemen Aplikasi (AppMgmt) Windows.

Tanggal 5 Juli, MalwareByte mengamati file arsip lain dengan dokumen tertanam yang meminjam pernyataan tentang Hong Kong dari perdana menteri Inggris Boris Johnson. Dokumen ini menggunakan TTP yang sama untuk menyisipkan dan mengeksekusi muatan yang sama.

Perintah jahat untuk mengunduh dan menyisipkan loader yang dikodekan dalam dokumen, dieksekusi menggunakan protokol pertukaran data dinamis (DDE), sistem komunikasi antarproses yang memungkinkan data untuk dikomunikasikan atau dibagi antara aplikasi Windows.

Setelah Loader berhasil dimasukan sebagai ff.exe, Loader akan  menyamar sebagai alat Realtek Audio Manager dan berisi empat sumber daya tertanam, dua di antaranya ditulis dalam Bahasa China bersama dengan penggunaan DDE dan injeksi template.

Kemudian, loader akan meningkatkan hak-hak istimewanya melalui bypass CMSTP sebelum menginstal muatan akhir. Sementara itu, loader juga mengambil langkah-langkah untuk menghindari deteksi perangkat lunak keamanan. Untuk menggagalkan analisis statis, kode itu memodifikasi dirinya dengan mengubah bagian kode selama runtime.

"Pada akhirnya, kode ini merupakan malware final (pMsrvd.dll), yang digunakan untuk melakukan aktivitas jahat, yang dilakukannya dengan menyamar sebagai Video Team Desktop App."

Tidak hanya Trojan administrasi jarak jauh yang dilengkapi dengan  RAT untuk membuat koneksi ke server perintah-dan-kontrol (C2) jarak jauh yang berlokasi di Hong Kong, malware ini juga memiliki kemampuan untuk mencatat penekanan tombol, tangkapan layar, dan mengelola file.

Peneliti MalwareByte juga menemukan beberapa aplikasi Android berbahaya sebagai bagian dari perangkat kelompok yang dilengkapi dengan fitur RAT, seperti audio dan perekaman layar dan fungsi untuk melakukan pelacakan lokasi ponsel dan mengekstrak kontak, log panggilan, SMS, dan riwayat web browser. []

Redaktur: Arif Rahman