Hacker China Gunakan Malware MgBot Targetkan LSM Internasional

Cyberthreat.id - The advanced persistent threat (APT) Group – grup ancaman persisten tingkat lanjut-- yang disebut Evasive Panda telah diamati menargetkan organisasi non-pemerintah (LSM) internasional di China Daratan. Mereka mengirim malware melalui saluran pembaruan aplikasi seperti Tencent QQ.

“Rantai serangan dirancang untuk mendistribusikan penginstal Windows untuk malware MgBot,” kata peneliti keamanan ESET Facundo Muñoz dalam laporan baru yang diterbitkan Rabu (26 April 2023) sebagaimana dipublikasi The Hacker News. Ditambahkan, bahwa kegiatan tersebut dimulai pada November 2020 dan berlanjut sepanjang tahun 2021.

Evasive Panda, juga dikenal sebagai Bronze Highland dan Daggerfly, adalah grup APT berbahasa China. Grup ini dikaitkan dengan serangkaian serangan spionase dunia maya yang menargetkan berbagai entitas di China, Hong Kong, dan negara lain yang berlokasi di Asia Timur dan Selatan setidaknya sejak akhir Desember 2012.

The Hacker News menyebutkan, ciri khas kelompok ini adalah penggunaan kerangka kerja malware modular MgBot khusus, yang mampu menerima komponen tambahan dengan cepat untuk memperluas kemampuan pengumpulan-intelijennya.

Beberapa kemampuan yang menonjol dari malware berbasis C++ termasuk mencuri file, mencatat penekanan tombol, memanen data clipboard, merekam aliran audio, dan pencurian kredensial dari browser web.

ESET, yang menemukan kampanye tersebut pada Januari 2022 setelah aplikasi China yang sah digunakan untuk menyebarkan penginstal untuk MgBot backdoor, mengatakan bahwa pengguna yang ditargetkan berada di provinsi Gansu, Guangdong, dan Jiangsu dan merupakan anggota dari LSM internasional yang tidak disebutkan namanya.

Aplikasi trojan adalah pembaru perangkat lunak klien Tencent QQ Windows ("QQUrlMgr.exe") yang dihosting di domain "update.browser.qq[.]com." Tidak segera jelas bagaimana aktor ancaman berhasil mengirimkan implan melalui pembaruan yang sah.

Tapi itu menunjuk ke salah satu dari dua skenario: kompromi rantai pasokan server pembaruan Tencent QQ atau kasus serangan adversary-in-the-middle (AitM), seperti yang dirinci oleh Kaspersky pada Juni 2022 yang melibatkan kru peretasan Tiongkok yang dijuluki LuoYu.

Dalam beberapa tahun terakhir, banyak serangan rantai pasokan perangkat lunak telah didalangi oleh kelompok negara-bangsa dari Rusia, China, dan Korea Utara. Kemampuan untuk mendapatkan jejak berbahaya yang besar dengan cepat belum hilang dari para penyerang ini, yang semakin menargetkan rantai pasokan TI untuk menerobos lingkungan perusahaan.

“Gaya intersepsi AitM akan dimungkinkan jika penyerang – baik LuoYu atau Evasive Panda – dapat mengkompromikan perangkat yang rentan seperti router atau gateway,” jelas Muñoz.

"Dengan akses ke infrastruktur tulang punggung ISP – melalui cara legal atau ilegal – Evasive Panda akan dapat mencegat dan membalas permintaan pembaruan yang dilakukan melalui HTTP, atau bahkan memodifikasi paket."

Ini penting karena temuan tersebut muncul kurang dari seminggu setelah serangan terperinci Symantec milik Broadcom yang dilakukan oleh aktor ancaman terhadap penyedia layanan telekomunikasi di Afrika menggunakan kerangka kerja malware MgBot.[]