Ini Cara Kerja Malware-malware yang Dipakai Geng APT32

Cyberthreat.id – APT32, kelompok peretas (hacker) yang menyerang pabrik mobil Jerman BMW dan Hyundai asal Korea Selatan, selama ini menggunakan banyak malware untuk melakukan serangan siber.

Perusahaan keamanan siber (cybersecurity) asal California, Amerika Serikat, FireEye, di situs webnya yang diakses Minggu (8 Desember 2019), mengatakan telah mengamati pergerakan APT32 sejak 2014. Pada 2017, FireEye menyatakan, sejumlah kliennya di Vietnam mengalami penargetan aktif oleh APT32 juga dikenal dengan Ocean Lotus a.k.a SeaLotus a.k.a APT-C-00.

Berikut ini aktivitas serangan APT32 sejak 2014:

• Vietnam target industri jaringan keamanan (2014) dan media (2015 dan 2016) dengan malware windshield.
• Jerman diserang sektor manufaktur (21014 dengan malware windshield
• Filipina diserang dua kali pada 2016 dengan malware windshield (sektor perbankan) dan malware komprogo, windshield , soundbite, dan beacon untuk perusahaan barang jadi (konsumsi)
• China diserang pada 2016 yang menyasar perhotelan dan wisata dengan malware Windshield.
• Amerika Serikat diserang pada 2016 dengan target perusahaan barang jadi (konsumsi). Malware yang dipakai, antara lain: komprogo, windshield , soundbite, dan beacon

Menurut FireEye, APT32 memiliki kemampuan pengembangan dengan sumber daya yang baik dan menggunakan rangkaian khusus ruang belakang (backdoor).

Operasi APT32 dikenali melalui serangkaian penyebaran muatan malware, di antaranya windshield, komprogo, soundbite, beacon, dan phoreal.

APT32 sering menyebarkan backdoor bersama dengan backdoor “Cobalt Strike (Beacon)” yang tersedia secara komersial. APT32 juga memiliki kemampuan pengembangan backdoor untuk macOS.

Berikut ulasan FireEye terhadap malware-malware yang dipakai APT32:

Windshield

• memiliki kemampuan komunikasi perintah dan kontrol (CnC) melalui soket mentah TCP
• memanipulasi registri
• mendapatkan nama file modul
• mengumpulkan informasi sistem, termasuk nilai registri, nama pengguna, nama komputer, dan current code page.
• interaksi sistem file termasuk pembuatan direktori, penghapusan file, membaca, dan menulis file
• memuat modul tambahan dan menjalankan kode
• menghentikan proses
• anti pembongkaran (disassembly)

Komprogo

• backdoor berfitur lengkap yang mampu memproses, mengelola file, dan mengelola registri
• membuat shell terbalik
• mentransfer file
• menjalankan kueri WMI
• mengambil informasi tentang sistem yang terinfeksi

Soundbite

• Komunikasi CnC melalui DNS
• memproses pembuatan
• mengunggah file
• mengeksekusi perintah shell
• mengenumerasi/manipulasi file dan direktori
• window enumaration
• memanipulasi registri
• pengumpulan informasi sistem

Phoreal

• komunikasi CnC melalui ICMP
• membalikkan pembuatan shell
• memanipulasi sistem file
• memanipulasi registri
• memproses pembuatan
• mengunggah file

Beacon (Cobalt Strike)

• payload tersedia untuk umum yang dapat menyuntikkan dan mengeksekusi kode arbitrer ke dalam proses
• meniru konteks keamanan pengguna
• mengimpor tiket Kerberos
• mengunggah dan mengunduh file
• menjalankan perintah shell dan lain-lain.