Hacker China Retas Aplikasi Obrolan dengan Linux baru dan Malware MacOS

Cyberthreat.id – Versi aplikasi pesan instan lintas platform yang berfokus pada pasar China yang dikenal sebagai 'MiMi' telah diserang trojan untuk menghadirkan pintu belakang baru (dijuluki rshell) yang dapat digunakan untuk mencuri data dari sistem Linux dan macOS.

Melansir Bleeping Computer, Tim Riset Ancaman & Deteksi SEKOIA mengatakan bahwa versi aplikasi macOS 2.3.0 telah di-backdoor selama hampir empat bulan, sejak 26 Mei 2022.

Mereka menemukan ini setelah melihat koneksi yang tidak biasa ke aplikasi ini saat menganalisis infrastruktur command-and-control (C2) untuk malware HyperBro remote access trojan (RAT) yang ditautkan ke grup ancaman APT27 yang didukung China.

TrendMicro juga melaporkan mendeteksi kampanye yang sama dan menemukan MiMi versi trojan lama yang menargetkan Linux (dengan rshell) dan Windows (dengan HyperBro), dengan sampel rshell Linux tertua pada Juni 2021 dan korban pertama dilaporkan kembali pada pertengahan Juli 2021 .

Kode JavaScript berbahaya yang ditanamkan dalam kode sumber MiMi pertama-tama memeriksa apakah aplikasi berjalan pada perangkat Mac dan kemudian mengunduh dan menjalankan pintu belakang rshell, seperti yang ditemukan SEKOIA.

Setelah diluncurkan, malware akan memanen dan mengirim informasi sistem ke server C2-nya dan menunggu perintah dari pelaku ancaman APT27.

Penyerang dapat menggunakannya untuk membuat daftar folder dan file dan untuk membaca, mengunduh, dan menulis file pada sistem yang disusupi. Pintu belakang juga dilengkapi dengan dukungan untuk perintah unggah yang memerintahkannya untuk mengirim file ke server C2-nya.

Malware ditautkan ke APT27 berdasarkan infrastruktur yang tumpang tindih menggunakan rentang alamat IP yang sama dan taktik umum (backdooring aplikasi perpesanan Able Desktop di Operation StealthyTrident dan mengemas kode berbahaya dengan Dean Edwards Javascript packer).

"Pada tahap ini, SEKOIA tidak dapat menilai tujuan dari kampanye ini. Karena penggunaan aplikasi ini di China tampaknya rendah, masuk akal untuk dikembangkan sebagai alat pengawasan yang ditargetkan," kata para peneliti.

"Kemungkinan juga, mengikuti rekayasa sosial yang dilakukan oleh operator, pengguna yang ditargetkan didorong untuk mengunduh aplikasi ini, yang konon untuk menghindari sensor otoritas China."

Juga Menargetkan Server Zoho Dan Exchange

APT27 (alias Utusan Panda, Iron Tiger, dan LuckyMouse) adalah kelompok ancaman yang didukung Tiongkok yang aktif selama lebih dari satu dekade (setidaknya sejak 2010) dan dikenal karena fokusnya pada spionase dunia maya dan kampanye pencurian informasi.

Sejak Maret 2021, grup tersebut telah melanggar dan menginfeksi server yang menjalankan perangkat lunak Zoho AdSelf Service Plus yang rentan—solusi manajemen kata sandi untuk aplikasi cloud dan Active Directory—dengan beberapa jenis malware, termasuk HyperBro RAT.

Serangan-serangan ini membahayakan setidaknya sembilan entitas dari sektor-sektor penting di seluruh dunia, termasuk pertahanan, perawatan kesehatan, energi, dan teknologi.

Pada bulan Januari, badan intelijen domestik BfV Jerman (kependekan dari Bundesamt für Verfassungsschutz) juga memperingatkan serangan APT27 terhadap organisasi komersial Jerman menggunakan taktik yang sama.

APT27 dan kelompok ancaman lain yang disponsori China juga telah dikaitkan di masa lalu dengan serangan yang mengeksploitasi bug ProxyLogon mulai awal Maret 2021 dan memungkinkan mereka mencuri data dari server Microsoft Exchange yang belum ditambal di seluruh dunia.