Pertama Kalinya Geng APT31 Terkait China Terdeteksi di Rusia
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Positive Technologies Expert Security Center (PT ESC), perusahaan keamanan siber Rusia, mendeteksi aktivitas peretasan dari geng APT31, terkenal menargetkan lembaga-lembaga pemerintah di dunia, untuk pertama kali di Rusia.
Selama paruh pertama 2021, menurut perusahaan, bandit siber itu telah mendistribusikan puluhan serangan phishing ke Mongolia, AS, Kanada, dan Belarusia. Dan, kini giliran Rusia yang menjadi sasaran serangan.
“Phsihing, salah satu teknik social engineering yang paling umum, digunakan oleh geng tersebut sebagai vektor serangan awal,” tulis laporan itu seperti dikutip dari kantor berita Rusia, TASS, Selasa (3 Agustus 2021).
Selama analisis sejak Januari hingga Juli lalu, peneliti mendeteksi bahwa APT31 menggunakan dropper yang sama. Tugasnya yaitu membuat malicious library dan aplikasi DLL Sideloading yang rentan pada komputer yang terinfeksi. Aplikasi diluncurkan oleh dropper, lalu memanggil salah satu fungsi malicious library yang dimuat, setelah itu kontrol diberikan ke kode berbahaya (malicious code).
“Malware yang dipakai ialah trojan akses jarak jauh (RAT) yang memungkinkan APT31 memantau dan mengontrol komputer atau jaringa korbannya,” ujar Daniil Koloskov, analis ancaman senior di PT ESC dikutip dari IT Security Wire.
“Perlu dicatat, betapa liciknya pengembang malware yaitu untuk membuat malicious library terlihat seperti versi aslinya, mereka menamakannya MSVCR100.dll—library dengan nama yang sama persis bagian dari Visual C++ untuk Microsoft Visual Studio dan terdapat di hampir semua komputer. Selain itu, malicious library berisi ekspor nama-nama yang dapat ditemukan di MSVCR100.dll yang sah,” ia menambahkan.
PT ESC termasuk bagian dalam GosSOPKA, program pertukaran data terkait insiden siber yang dikoordinasikan oleh National Computer Incident Response & Coordination Center (cert.gov.ru).
Berita Terkait:
- AS dan Sekutunya Salahkan China di Balik Peretasan Microsoft Exchange Server
- Prancis Sebut Hacker APT31 China Terdeteksi Aktif Lakukan Serangan
- China: Tak Cukup Bukti Negaranya Operasikan Peretasan Global
Dalam laporannya, PT ESC mengatakan, penjahat siber itu menggunakan kode perangkat lunak jahat yang memungkinkan mereka mengontrol komputer atau jaringan korban dengan akses jarak jauh.
Saat mempelajari sampel malware terbaru yang dipakai geng tersebut, peneliti mendeteksi tautan phishing meniru domain badan pemerintah federal. Domain phishing itu beralamat inst.rsnet-devel[.]com dan dirancang untuk menyesatkan pejabat pemerintah dan perusahaan yang bermitra dengan badan pemerintah Rusia.
“Selama tahun ini, APT31 telah menambahkan dan mulai aktif menggunakan versi malware baru,” kata Denis Kuvshinov, Kepala Analisis Ancaman di Positive Technologies dalam pernyataannya.
APT31 (dikenal dengan “Hurricane Panda” dan “Zirconium”) di kalangan peneliti keamanan siber telah dikenal sejak 2016 dan diduga berkaitan dengan China. Geng satu ini terkenal dengan spionase siber dan pengumpulan data-data penting organisasi. Sebagian peneliti berkeyakinan bahwa APT31 ialah dalang serangan ke organisasi dan individu yang dengan calon presiden AS selama Pemilu 2020. Target lain geng ini umumnya perusahaan antariksa, pertahanan, keuangan, dan teknologi tinggi, telekomunikasi, dan media massa.[]
