The Hacker News
The Hacker News
Cyberthreat.id - Sebuah organisasi nirlaba Islam yang tidak disebutkan namanya di Arab Saudi telah menjadi sasaran kampanye spionase siber tersembunyi yang dirancang untuk membuka backdoor (backdoor) yang sebelumnya tidak berdokumen bernama Zardoor.
Cisco Talos, yang menemukan aktivitas tersebut pada bulan Mei 2023, mengatakan bahwa kampanye tersebut kemungkinan telah berlanjut setidaknya sejak bulan Maret 2021, dan menambahkan bahwa pihaknya hanya mengidentifikasi satu target yang telah disusupi hingga saat ini, meskipun diduga ada korban lain.
“Sepanjang kampanye, hacker menggunakan sistem biner living-off-the-land (LoLBins) untuk menerapkan backdoor, menetapkan komando dan kontrol (C2), dan mempertahankan persistensi,” kata peneliti keamanan Jungsoo An, Wayne Lee, dan Vanja Svajcer, menunjukkan kemampuan pelaku ancaman untuk mempertahankan akses jangka panjang ke lingkungan korban tanpa menarik perhatian.
The Hacker News menuliskan, intrusi yang menargetkan organisasi amal Islam ini melibatkan eksfiltrasi data secara berkala sekitar dua kali sebulan. Vektor akses awal yang tepat yang digunakan untuk menyusup ke entitas saat ini tidak diketahui.
Namun, pijakan yang diperoleh telah dimanfaatkan untuk menghilangkan Zardoor agar tetap bertahan, diikuti dengan membuat koneksi C2 menggunakan alat proksi terbalik sumber terbuka seperti Fast Reverse Proxy (FRP), sSocks, dan Venom.
“Setelah koneksi terjalin, pelaku ancaman menggunakan Windows Management Instrumentation (WMI) untuk bergerak ke samping dan menyebarkan alat penyerang – termasuk Zardoor – dengan memunculkan proses pada sistem target dan menjalankan perintah yang diterima dari C2,” kata para peneliti.
Jalur infeksi yang belum ditentukan membuka jalan bagi komponen dropper yang, pada gilirannya, menyebarkan perpustakaan tautan dinamis berbahaya ("oci.dll") yang bertanggung jawab untuk mengirimkan dua modul backdoor, "zar32.dll" dan "zor32 .dll."
Meskipun yang pertama adalah elemen backdoor inti yang memfasilitasi komunikasi C2, yang terakhir memastikan bahwa "zar32.dll" telah diterapkan dengan hak istimewa administrator. Zardoor mampu mengeksfiltrasi data, mengeksekusi executable dan shellcode yang diambil dari jarak jauh, memperbarui alamat IP C2, dan menghapus dirinya sendiri dari host.
Asal muasal pelaku ancaman di balik kampanye ini masih belum jelas, dan saat ini tidak ada kesamaan taktik yang tumpang tindih dengan pelaku ancaman yang diketahui dan dilaporkan secara publik. Meskipun demikian, hal ini dinilai sebagai hasil karya "aktor ancaman tingkat lanjut".[]
Share: