Gunakan Malwarer DarkGate, Hacker Vietnam Menyerang Inggris, AS, dan India
Cyberthreat.id – Sepak terjang hacker Vietnam yang terkait dengan penggunaan pencuri Ducktail yang terkenal itu, kembali bergentayangan di dunia maya. Kali ini, serangannya memanfaatkan malware komoditas DarkGate yang menargetkan entitas di Inggris, Amerika Serikat, dan India.
“Tumpang tindih alat dan kampanye kemungkinan besar disebabkan oleh dampak pasar kejahatan dunia maya,” kata WithSecure dalam laporan yang diterbitkan 20 Oktober 2023, sebagaimana dikutip The Hacker News.
“Para pelaku ancaman dapat memperoleh dan menggunakan berbagai alat berbeda untuk tujuan yang sama, dan yang harus mereka lakukan hanyalah menentukan target, kampanye, dan umpan.”
Perkembangan ini terjadi di tengah peningkatan kampanye malware yang menggunakan DarkGate dalam beberapa bulan terakhir, terutama didorong oleh keputusan pembuatnya untuk menyewakannya dengan basis malware-as-a-service (MaaS) kepada pelaku ancaman lain setelah menggunakannya secara pribadi sejak tahun 2018.
Bukan hanya DarkGate dan Ducktail, kelompok pelaku ancaman di Vietnam yang bertanggung jawab atas kampanye ini juga memanfaatkan umpan, tema, penargetan, dan metode penyampaian yang sama atau sangat mirip untuk juga menghadirkan LOBSHOT dan RedLine Stealer.
Rantai serangan yang mendistribusikan DarkGate ditandai dengan penggunaan skrip AutoIt yang diambil melalui Visual Basic Script yang dikirim melalui email atau pesan phishing di Skype atau Microsoft Teams. Eksekusi skrip AutoIt mengarah pada penerapan DarkGate.
Namun dalam kasus ini, vektor infeksi awal adalah pesan LinkedIn yang mengarahkan korban ke file yang dihosting di Google Drive, sebuah teknik yang biasa digunakan oleh pelaku Ducktail.
“Tema dan daya tarik kampanye yang sangat mirip telah digunakan untuk menghadirkan Ducktail dan DarkGate,” kata WithSecure, meskipun fungsi tahap akhir sangat berbeda.
Sementara Ducktail berfungsi sebagai pencuri, DarkGate adalah trojan akses jarak jauh (RAT) dengan kemampuan mencuri informasi yang juga membangun persistensi terselubung pada host yang disusupi untuk akses pintu belakang.
“DarkGate telah ada sejak lama dan digunakan oleh banyak kelompok untuk tujuan berbeda, dan bukan hanya kelompok atau klaster ini di Vietnam,” kata peneliti keamanan Stephen Robinson, analis intelijen ancaman senior di WithSecure, kepada The Hacker News.
“Kebalikannya adalah para pelaku dapat menggunakan berbagai alat untuk kampanye yang sama, yang dapat mengaburkan sejauh mana aktivitas mereka sebenarnya dari analisis yang murni berbasis malware.”[]
