Grup Hacker APT32 Targetkan Pemerintah Kamboja
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Peneliti keamanan siber dari Insikt Group menemukan aktivitas peretas yang diduga mendapat sokongan negara menargetkan pemerintah Kamboja.
Insikt Group adalah sayap dari perusahaan keamanan siber Recorded Future—berkantor pusat di Massachusetts, Amerika Serikat—yang mengurusi threat intelligence.
Peneliti menuding kelompok peretas yang bertanggung jawab di balik serangan ialah APT32 atau biasa dikenal dengan sebutan OceanLotus asal Vietnam. Dalam serangan, mereka dideteksi memakai senjata spear-phishing atau phishing yang ditargetkan.
Menggunakan alat deteksi Recorded Future RAT dan Network Traffic Analyisis, peneliti menemukan metode operasional APT32 pada Juni 2020. Mereka memakai malware “METALJACK” dan “DenisRAT”.
Peneliti menduga serangan tersebut memiliki keterkaitan dengan hubungan kedua negara yang tidak harmonis selama ini. Terlebih, Kamboja cenderung dekat dengan China.
Serangan APT32 bukan kali ini saja. Pada KTT 2017, mereka pernah menargetkan situs web ASEAN dan menargetkan situs web kementerian atau lembaga pemerintah di Kamboja, Laos, dan Filipina, kata peneliti.
Insikt Grup memberi contoh temuannya terkait APT32 yakni sampel malware dikirim melalui dokumen yang menggunakan bahasa Kamboja yang artinya "Daftar Lampiran Militer Asing dan Kantor Kerja Sama Militer di Cambodia.docx~ [.] exe".
Dokumen itu arsip yang mengekstrak sendiri atau SFX dan berisi empat file, yakni
- eksekusi sah yang ditandatangani oleh Apple (SoftwareUpdate.exe)
- file dynamic link library (DLL) jinak (SoftwareUpdateFiles.dll),
- DLL berbahaya (SoftwareUpdateFIlesLocalized.dll), dan
- “SoftwareUpdateFiles.locle" yang berisi kode shell terenkripsi.
Insikt Grup mengatakan setelah menjalankan dokumen itu, eksekusi sah yang ditandatangani oleh Apple itu akan memuat file DLL jinak yang mana mengandung kode eksekusi, kemudian file DLL berbahaya,dan akhirnya menyimpan segala eksekusi itu di jalur file SoftwareUpdateFiles.Resource/en.lproj.
Setelah itu, DLL berbahaya mengekstrak kode shell yang dienkripsi sehingga bisa jalan dan memuat muatan terakhir.
Proses muatan ini, kata peneliti, persis dengan yang ditemukan Insikt Grup dan Ahnlab terkait sampel APT32 yang merujuk pada KTT ASEAN 2020.
Sementara itu, contoh lainnya yakni malware yang baru diunggah ke repositori malware pada 22 Oktober 2020.
File terlampir berisikan malware itu bernama "9_Programme_SOMCA-Japan_FINAL.docx~.exe", yang kemungkinan berkedok Pertemuan Pejabat Senior ASEAN untuk Kebudayaan dan Seni (SOMCA).
Dari judulnya saja, peneliti berpendapat bahwa hal itu menunjukan peretas menargetkan ASEAN dan negara anggota lainnya.
Terkait mekanisme hingga malware menyebar yakni sama dengan contoh sebelumnya. Namun, sampel ini memiliki file DLL berbahaya yang identik dan hash impor yang berbeda dengan yang biasanya digunakan APT32.
Selain itu, Insikt Grup mendapati alamat IPnya,dan ditemukan bahwa grup APT32 sering berkomunikasi dengan alamat IP 43.254.132[.]212.
43.254.132[.]212 itu, kata Insikt Grup, merujuk pada domain insappstaticanalyze[.]com, dns; dan insappstaticanalyze[.]com.
Sementara itu, alamat IP lainnya yang ditemukan Insikt Grup untuk berkomunikasi yakni 43.254.132[.]117 yakni businesappinstant[.]com, cloud; bussinesappinstant[.]com, query; bussinesappinstan[.]com.[]
Detail laporan bisa diakses di sini (PDF).
Redaktur: Andi Nugroho
