Cyberthreat.id - Peneliti Kaspersky mengamati operasi kelompok hacker asal China yang menargetkan organisasi militer dan institusi finansial di Eropa timur dengan memanfaatkan backdoor. Kelompok hacker itu disebut CactusPete, dikenal juga dengan Karma Panda atau Tonto yang telah aktif sejak 2013.

APT ini berfokus pada target militer, diplomatik, dan infrastruktur di Asia dan Eropa Timur. Menurut Kaspersky, kelompok ini tidak memiliki kecanggihan apapun, tetapi relatif berhasil dalam tiap serangan yang dilakukan.

Misalnya serangan yang diamati Kaspersky pada akhir Februari 2020 menggunakan varian baru dari backdoor Bisonal, menyerang organisasi di sektor militer dan keuangan di Eropa Timur. Analisis malware mengungkap kelompok ini merilis lebih dari 20 sampel per bulan. Saat ini ada lebih dari 300 sampel identik yang digunakan antara Maret 2019 dan April 2020.

"Lokasi target (di Eropa Timur) memaksa grup ini menggunakan halaman kode Cyrillic hardcode selama manipulasi string. Ini penting, misalnya, selama fungsionalitas shell jarak jauh, untuk menangani output Cyrillic dengan benar dari perintah yang dijalankan (executed commands)," tulis Kaspersky dalam laporannya dilansir Security Week, Rabu (12 Agustus 2020).

Sayangnya, para peneliti belum mengetahui metode pengiriman untuk serangan terbaru. Kelompok ini sebelumnya memanfaatkan spear-phishing untuk penyusupan. Email membawa lampiran yang mencoba mengeksploitasi kerentanan yang baru saja ditambal, tetapi memanfaatkan metode lain juga untuk memastikan peretasan berhasil.

Setelah berhasil terhubung dengan server penyerang, malware mengirimkan informasi dari jaringan korban, termasuk nama host, alamat IP dan MAC, Versi OS, waktu host yang terinfeksi, tanda penggunaan proxy, informasi tentang apakah itu dijalankan di lingkungan VMware, dan Pengenal CodePage default sistem.

Jika sistem berhasil diretas, backdoor dapat menjalankan shell jarak jauh, menjalankan program secara diam-diam, mengambil daftar proses, menghentikan proses mengunggah, mengunduh, dan menghapus file, membuat daftar drive yang tersedia, serta mengambil daftar file dalam folder tertentu.

Selain pengintaian dan mendapatkan akses lebih dalam ke jaringan yang disusupi, kelompok ini juga menggunakan iterasi Mimikatz khusus dan keylogger untuk mencuri kredensial, serta mencoba untuk meningkatkan hak istimewa.

"Karena malware sebagian besar berisi fungsi pengumpulan informasi, kemungkinan besar mereka meretas organisasi/perusahaan untuk mendapatkan akses ke data sensitif korban. Jika kita ingat bahwa CactusPete menargetkan organisasi militer, diplomatik, dan infrastruktur, informasinya bisa jadi sangat sensitif."

Menurut Kaspersky, kelompok ini juga menggunakan malware lain seperti backdoor DoubleT, bersama dengan CALMTHORNE, Curious Korlia, dan DOUBLEPIPE.

Meskipun grup hacker tingkat menengah (medioker) dalam hal kemampuan teknis, CactusPete diamati juga menggunakan kode yang lebih kompleks, seperti ShadowPad, yang menyarankan dukungan dari luar. ShadowPad dimanfaatkan dalam serangan yang menargetkan entitas pertahanan, energi, pemerintah, pertambangan, dan telekomunikasi di Asia dan Eropa Timur.

Secara historis CactusPete diamati menargetkan organisasi di Korea Selatan, Jepang, AS, dan Taiwan, tetapi telah memperluas daftar target ke wilayah Asia dan Eropa Timur selama beberapa tahun terakhir.

"Kami menyebut CatusPete sebagai grup Advanced Persistent Threat (APT), tetapi kode Bisonal yang kami analisis tidak terlalu canggih. Namun, yang menarik, grup APT CactusPete telah berhasil tanpa teknik lanjutan, menggunakan kode biasa dan email spear-phishing dengan lampiran 'ajaib' sebagai metode distribusi malware." []

Redaktur: Arif Rahman