Cyberthreat.id - Peneliti mengungkapkan kelompok APT27 asal China menggunakan ransomware dan memanfaatkan Bitlocker dalam melakukan serangan ke targetnya.

Dikutip dari Bleeping Computer, peneliti keamanan siber dari Profero dan Security Joes, menemukan bukti kuat antara serangkaian insiden ransomware di beberapa perusahaan yang memanfaatkan BitLocker dengan kelompok APT27 yang disponsori China.

Menurut para peneliti, serangan yang memanfaatkan alat enkripsi drive di Windows, terjadi pada tahun 2020 dan memakan korban lima perusahaan di sektor perjudian online yang beroperasi secara global. Melalui serangan ini, APT27 berhasil mengenkripsi beberapa server inti.

Saat menganalisis serangan itu, peneliti menemukan sampel malware yang digunakan terkait dengan DRBControl, salah satu serangan yang masuk dalam laporan dari Trend Micro dan dikaitkan dengan APT27 dan Winnti yang berafiliasi dengan China. Jika APT27 berfokus pada spionase siber, Winnti dikenal dengan motivasi finansialnya.

Dalam laporannya, peneliti membagikan bukti sampel dari backdoor Clambling yang mirip dengan yang digunakan dalam kampanye DRBControl. Peneliti juga menemukan webshell ASPXSpy dengan versi yang dimodifikasi dari malware ini telah terlihat sebelumnya dalam serangan yang dikaitkan dengan APT27. Peneliti juga menemukan malware PlucX di komputer yang terinfeksi.

“Berkenaan dengan siapa yang berada di balik rantai infeksi khusus ini, ada kaitan yang sangat kuat dengan APT27 atau yang dikenal dengan Emissary Panda," ungkap para peneliti.

Peneliti mengatakan, serangan yang dilakukan APT27 ke lima perusahaan di sektor perjudian tidak terlalu canggih dan mengandalkan metode yang diketahui untuk menghindari deteksi dan bergerak secara lateral. APT27 diketahui menyebarkan malware PlugX dan Clambling di memori sistem menggunakan Google Updater lama yang dapat dieksekusi dan rentan terhadap pemuatan samping (side-loader) DLL.

"Dari dua sampel tersebut, ada file eksekusi yang sah, DLL berbahaya, dan file biner yang terdiri dari shellcode yang bertugas untuk mengekstrak muatan dari dirinya sendiri dan menjalankannya di memori. Kedua sampel menggunakan Google Updater yang ditandatangani, dan kedua DLL itu berlabel goopdate.dll, namun berkas biner PlugX bernama license.rtf, dan berkas biner Clambling dinamai English.rtf," tambah peneliti.

APT27 juga memanfaatkan kerentanan dari 2017 (CVE-2017-0213) untuk meningkatkan hak istimewa pada mesin. Kode eksploitasi untuk bug ini tersedia untuk umum. Sehinga dapat dikatakan kunci utama dari serangan ini adalah keterlibatan kelompok spionase dunia maya dalam kampanye yang digerakkan secara finansial.

Sebelumnya, para peneliti di Positive Technologies juga mengaitkan serangan ransomware Polar dari April 2020 ke APT27, berdasarkan penggunaan malware yang biasanya digunakan oleh grup ini.[]