Gelombang Baru RAT Backdoor Asal China Menargetkan Negara Asia

Ilustrasi backdoor

Cyberthreat.id - Kelompok Advanced Persistent Threat (APT) yang disponsori negara kerap menargetkan pemerintah dan organisasi swasta menggunakan alat canggih dan vektor serangan canggih. Saat ini, Remote Access Trojan (RAT) backdoor yang terus berkembang, dijuluki Mikroceen, digunakan dalam berbagai operasi yang ditargetkan terhadap subjek publik dan swasta sejak akhir 2017.

Serangan menggunakan sampel serupa juga diamati di wilayah lain. Ini menunjukkan bahwa kelompok hacker APT masih menjalankan operasinya menggunakan toolset yang sama.

Kelompok APT berusaha menyusup ke lembaga pemerintah dan beberapa jaringan perusahaan lainnya.

Mei 2020, hacker menggunakan satu set backdoor secara kolektif merujuk kepada Mikroceen. Backdoor individual diidentifikasi dengan nama "sqllauncher.dll", "logon.dll," dan "logsupport.dll".

Backdoor Mikroceen menargetkan beberapa organisasi terkemuka di industri telekomunikasi dan gas serta entitas pemerintah di kawasan Asia Tengah. Korban bukan individu pribadi, melainkan endpoint dalam jaringan perusahaan.

Backdoors membuka jalan bagi penyebaran malware lain seperti Gh0st RAT dan Mimikatz. Selain itu, hacker mengandalkan Windows Management Instrumentation (WMI) untuk mengatur keamanan proxy yang ketat dan untuk mengakses sumber daya lokal.

Dalam operasi ini, sebagian besar server C&C terdaftar di Choopa, LLC, platform hosting yang telah digunakan oleh para penjahat cyber di masa lalu. Registrar GoDaddy juga digunakan di awal operasi tetapi server-server itu segera dihapus.

Koneksi dengan operasi sebelumnya?

Sampel yang dianalisis ESET dan Avast berisi tautan ke sampel malware dan operasi malware dalam beberapa operasi terakhir. Semua operasi ini ditautkan melalui penggunaan alat (toolsets) umum yang berbagi kode yang sama.

Terdapat hubungan antara operasi terbaru dengan tiga laporan intel yang sebelumnya diterbitkan yakni: Microceen Kaspersky menargetkan personil militer Rusia, BYEBY Palo Alto Networks melawan pemerintah Belarus, dan Vicious Panda Checkpoint terhadap sektor publik Mongolia.

File sampel terbaru (kampanye Covid-19 sejak 2020) memiliki beberapa korelasi (kesamaan kode) dengan sampel Microcin sejak 2017, sampel BYEBY dari 2017, dan Vicious Panda.

Setelah menganalisis toolset yang digunakan, terutama penggunaan persenjataan RTF (Rich Text Format) dalam vektor infeksi, didapatkan kesimpulan bahwa operasi ini dihubungkan dengan grup APT asal China. Kelompok ini diduga berada di belakang serangan aktif di Mongolia, Rusia, dan Belarus.

Perusahaan dan lembaga yang ditargetkan serta analisis kode malware mengarahkan pelaku ke grup APT.

Untuk menghindar dari serangan malware ini, perusahaan/institusi pemerintah harus memiliki langkah pencegahan yang efektif (seperti firewall, antivirus dan IDS/IPS).

Setiap organisasi/institusi harus melakukan pertukaran informasi dan intelijen yang dapat menindaklanjuti ancaman lanjutan, seperti hash file berbahaya, alamat IP, domain, URL, dan TTP, untuk memastikan identifikasi dan pengumpulan yang tepat waktu  perbaikan proaktif.