Awas Email Phishing Terkait Isu Muslim Uyghur di China, Peretas Menyamar sebagai PBB
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Sebuah serangan siber berupa email phishing terdeteksi oleh perusahaan keamanan siber yang menyaru sebagai Persatuan Bangsa-Bangsa selama setahun terakhir.
Email tersebut berisi dokumen berlogo Dewan Hak Asasi Manusia PBB (UNHRC). Nama filenya: UgyhurApplicationList.docx. Sebuah dokumen umpan jebakan tentang ajakan diskusi tentang pelanggaran HAM.
Penyerang menggunakan isu pelanggaran HAM yang dialami Muslim Uyghur, etnis minoritas Turki yang tinggal di Xinjiang, China.
Demikian temuan gabungan dari perusahaan keamanan siber terkemuka, Chceck Point Researc dan tim GReAT Kaspersky yang dirilis pada Kamis (27 Mei 2021) seperti dikutip dari ZDNet.
Jika korban yang menerima email itu mengunduhnya (berasal dari officemodel[.]org) dan membuka file—mengaktifkan pengeditan (Enable Editing) saat membuka file—kode makro VBA selanjutnya memeriksa arsitektur sistem operasi PC. Selanjutnya, kode perintah itu mengunduh muatan 32 bit atau 64 bit.
File docx yang mengandung malware.
Dijuluki “OfficeUpdate.exe” yang disimpan di bawah direktori %TEMP%, file muatan tersebut adalah kode shell yang mengambil dan memuat muatan jarak jauh.
“Dalam dua sampel OfficeUpdate.exe yang kami temukan, muatannya adalah shellcode loader yang dimulai dengan teknik penghindaran dasar dan anti-debugging, dengan fungsi seperti sleep dan QueryPerformanceCounter,” tulis peneliti.
“Shellcode di kedua varian itu mencoba mengambil muatan jarak jauh. Pada varian pertama, kami menemukan shellcode yang dimuat berusaha terkoneksi ke alamat IP (185.94.189[.]207.”
“Selanjutnya, varian kedua mencoba terkoneksi ke officemodel[.]org meskipun macet selama eksekusi. Sayangnya kami tidak dapat mengambil muatan tahap berikutnya untuk dianalisis,” peneliti menambahkan seperit dikutip dari laporannya di sini. (PDF)
Domain yang dipakai
Domain yang ditautkan ke lampiran email berbahaya itu (officemodel[.]org) diarahkan ke alamat IP yang sama dengan unohcr[.]org—domain yang meniru Kantor Komisioner Tinggi PBB untuk HAM (OHCHR).
Alamat IP lain juga mengungkapkan domain bernama tcahf[.]org yang menghosting situs web yang mengklaim mewakili “Turkic Culture and Heritage Foundation”—sebuah entitas palsu yang sebagian besar konten situs webnya disalin dari opensocietyfoundations.org yang sah.
Domain itulah digunakan untuk pengiriman malware dengan kedok organisasi HAM palsu.
Situs web tersebut mencoba memikat pengunjung agar mengunduh “security scanner” sebelum mengajukan informasi yang dibutuhkan untuk memberikan dana hibah. Aplikasi itu diklaim bisa berjalan di Windows dan MacOS, tapi saat analisis, peneliti hanya menemukan program untuk Windows.
Perangkat lunak tersebut sebenarnya berupa perangkat lunak jahat “pintu belakang” (backdoor).
Perintah unduh aplikasi sebelum mengisi informasi data diri. | Foto: CPR dan Kaspersky
Dua versi “pintu belakang” ditemukan yaitu “WebAssistant yang tersedia pada Mei 2020 dan “TcahUpdate” yang dimuat sejak Oktober 2020.
Peneliti melihat “pintu belakang” tersebut memiliki tugas spionase dan mencuri data serta dapat digunakan untuk mengeksekusi muatan tambahan file jahat lainnya.
Sejauh ini, menurut peneliti, sejumlah korban yang terkena email phishing tersebut berasal dari China dan Pakistan.
CPR dan Kasperksy memprediksi geng penjahat tersebut kemungkinan besar adalah penutur bahasa Mandarin. “Saat memeriksa makro berbahaya dalam dokumen pengiriman, kami menemukan bahwa beberapa kutipan kode identik dengan kode VBA yang muncul di beberapa forum berbahasa Mandarin, dan mungkin telah disalin dari sana secara langsung,” tutur peneliti.
Kutipan kode identik dengan kode VBA yang muncul di beberapa forum berbahasa Mandarin.
Meskipun sebagian besar aktivitas itu terjadi selama 2020, tampaknya aktor ancaman di balik kampanye ini masih aktif di 2021, dengan dua domain baru yang terdaftar: malaysiatcahf [.]org dan icislieri[.]com. Kedua domain ini diarahkan ke alamat IP yang sama dengan officemodel [.]org.
"Domain icislieri[.]com tampaknya meniru identitas Kementerian Dalam Negeri Turki, saat ini kedua domain tersebut dialihkan ke situs web badan pemerintah Malaysia yang dikenal dengan ‘Terengganu Islamic Foundation’," kata peneliti.
"Ini menunjukkan bahwa penyerang mengejar target tambahan di negara-negara seperti Malaysia dan Turki, meskipun mereka mungkin masih mengembangkan sumber daya tersebut karena kami belum melihat artefak berbahaya yang terkait dengan domain tersebut," peneliti menambahkan.[]
