Kelompok Peretas China Menyamar Sebagai Presiden Afganistan
Ilustrasi
Cyberthreat.id - Sebuah kelompok peretas berbahasa Cina sedang melakukan serangan siber yang sedang berlangsung terhadap pemerintah Afghanistan dengan menyamar sebagai presidennya.
Seperti dilaporkan ZDNet, pada hari Kamis Check Point Research (CPR) mengatakan bahwa Kantor Presiden Afghanistan, yang mewakili Presiden Ashraf Ghani, digunakan sebagai umpan dalam email phishing yang dirancang untuk menyusup ke lembaga pemerintah di negara itu. Serangan itu antara lain berhasil meretas Dewan Keamanan Nasional Afghanistan (NSC).
Diperkirakan kelompok ancaman tingkat lanjut (APT) yang dijuluki IndigoZebra bertanggung jawab. Para penyerang siber berbahasa China sebelumnya telah menargetkan bekas Republik Soviet, seperti dicatat oleh Kaspersky.
Sampel email penipuan yang dilihat oleh perusahaan keamanan siber berpura-pura dari kantor presiden dan meminta peninjauan mendesak atas perubahan dokumen terkait dengan konferensi pers yang akan datang. Para peneliti mengatakan bahwa email ini dikirim dari kotak masuk email yang disusupi dari korban masa lalu yang terkenal.
File tersebut adalah arsip .RAR yang dilindungi kata sandi bernama NSC Press conference.rar. Jika korban membuka file, mereka menerima executable Windows (NSC Press conference.exe), yang menyebarkan pengunduh malware dan backdoor "xCaon" yang mempertahankan kegigihan dengan menetapkan kunci registri.
Backdoor dapat mengunduh dan mengunggah file, menjalankan perintah dari server command-and-control (C2) yang dikuasai peretas, dan mencuri data.
Dropbox juga disalahgunakan sebagai bentuk server C2 dalam versi terbaru dari pintu belakang ini, dijuluki "BoxCaon" oleh CPR.
CPR mengatakan bahwa dengan menggunakan Dropbox API, ini "menutupi aktivitas jahat mereka, karena tidak ada komunikasi ke situs web abnormal yang terjadi."
IndigoZebra juga akan menyebarkan alat pemindai NetBIOS yang diadopsi oleh APT Cina lainnya, APT10/Stone Panda, dan dapat menjalankan alat utilitas jaringan untuk pengintaian dalam pencarian target lebih lanjut.
Malware yang digunakan oleh kelompok itu juga termasuk Meterpreter, Poison Ivy, xDown, dan backdoor xCaon.
CPR mengatakan bahwa APT yang dimaksud juga kemungkinan bertanggung jawab atas serangan yang terjadi pada tahun 2014, di mana entitas politik di Kirgistan dan Uzbekistan menjadi sasaran.
"Sementara aktor IndigoZebra pada awalnya diamati menargetkan bekas republik Soviet seperti Uzbekistan dan Kirgistan, kami sekarang telah menyaksikan bahwa kampanyenya tidak berkurang, tetapi sebaliknya - mereka meluas ke target baru di wilayah tersebut, dengan perangkat baru," kata para peneliti.[]
