Cyberthreat.id - Kelompok APT Molerats, menggunakan backdoor baru untuk menyalahgunakan Facebook dan Dropbox.

Morelats merupakan kelompok APT yang dikaitkan dengan organisasi Hamas, Palestina. Kelompok ini diyakini aktif sejak 2012 lalu, dan dikenal sebagai Gaza Hacker Team, Gaza Cybergang, DustySky, Extreme Jackal, dan Moonlight. Kelompok ini menargetkan entitas di Timur Tengah, Eropa, dan Amerika Serikat.

Sebelumnya, pada awal 2020 tim peneliti dari Cybereason, menemukan Molerats menggunakan dua keluarga malware baru yang digunakan oleh APT, yaitu Spark dan Pierogi. Sebulan kemudian, Palo Alto Networks mengungkapkan bahwa grup tersebut telah memperluas targetnya dengan memasukkan industri asuransi dan ritel, di samping lembaga pemerintah dan telekomunikasi.

Dikutip dari Security Week, tim peneliti Cybereason mengatakan Molerats meningkatkan kemampuannya dengan menambah dua backdoor bernama SharpStage dan DropBook, bersama dengan pengunduh bernama MoleNet.

Ketiga alat baru ini memungkinkan penyerang untuk menjalankan kode arbitrer dan mengumpulkan data dari perangkat yang terinfeksi. Alat ini telah digunakan dalam kampanye spionase yang secara aktif menargetkan individu berbahasa Arab di Timur Tengah.

Salah satu yang menarik dari backdoor ini adalah digunakan pada layanan online yang sah untuk tujuan jahat. Seperti menggunakan klien Dropbox untuk menyedot data dan untuk menyimpan alat spionase. Dropbox tersebut dikendalikan melalui Facebook palsu. Molerats juga menyalahgunakan Google Drive untuk penyimpanan muatan.

Para peneliti juga mengidentifikasi aktivitas baru yang menargetkan entitas berbahasa Turki menggunakan backdoor Spark, serta kampanye terpisah di mana varian Pierogi baru digunakan pada target yang  terinfeksi DropBook, SharpStage, dan Spark. Hal ini menunjukkan hubungan dekat antara Molerats dan APT-C-23 (Arid Viper). Keduanya merupakan bagian dari Gaza Cybergang.

DropBook adalah pintu belakang berbasis Python yang dibuat oleh pengembang di belakang JhoneRAT. DropBook mampu melakukan pengintaian, menjalankan perintah shell, dan mengunduh serta menjalankan malware tambahan. Ancaman ini hanya dijalankan jika WinRAR dan keyboard Arab yang ada di sistem yang terinfeksi.

“Pintu belakang yang baru ditemukan dikirimkan bersama dengan pintu belakang Spark yang dilaporkan sebelumnya, yang bersama dengan kesamaan lainnya dengan kampanye sebelumnya, semakin memperkuat atribusi ke Molerats,” ungkap Cybereason.

Keluarga malware ini digunakan untuk menargetkan tokoh politik dan pejabat pemerintah di Wilayah Palestina, Mesir, Turki, dan UEA, di antara wilayah Timur Tengah lainnya. Umpan phishing yang digunakan dalam serangan ini termasuk pemilu Hamas, hubungan Israel-Saudi, politisi Palestina, dan acara politik lainnya.

Berdasarkan sampel yang diamati dari SharpStage, sebuah backdoor .NET, menunjukkan stempel waktu kompilasi antara 4 Oktober dan 29 November 2020. Malware ini dapat menangkap tangkapan layar, mengunduh dan mengeksekusi file, menjalankan perintah sewenang-wenang, dan membuka arsip data yang diambil dari server perintah dan kontrol (C&C).

Malware dapat mengambil dan menjalankan berbagai muatan, termasuk versi yang diperbarui, pengunduh MoleNet, Quasar RAT, SharpStage, dan ProcessExplorer.

Pengunduh MoleNet tampaknya telah digunakan sejak 2019, sementara infrastrukturnya mungkin telah aktif sejak 2017. Malware .NET yang sangat dikaburkan dapat melakukan perintah WMI untuk pengintaian, memeriksa sistem untuk debugger, memulai ulang sistem, mengirim OS info ke server C&C,  mengunduh muatan tambahan, dan mempertahankan keberadaannya.

“Penemuan alat spionase dunia maya baru bersama dengan koneksi ke alat yang diidentifikasi sebelumnya yang digunakan oleh kelompok tersebut menunjukkan bahwa Molerats meningkatkan aktivitas spionase mereka di wilayah tersebut sehubungan dengan iklim politik saat ini dan peristiwa terkini di Timur Tengah."[]

Editor: Yuswardi A. Suud