Seorang aktor ancaman spionase dunia maya yang dilacak sebagai Billbug (alias Thrip, Lotus Blossom, Spring Dragon) telah menjalankan kampanye yang menargetkan otoritas sertifikat, lembaga pemerintah, dan organisasi pertahanan di beberapa negara di Asia.
Serangan terbaru diamati setidaknya sejak Maret tetapi aktor tersebut telah beroperasi secara diam-diam selama lebih dari satu dekade dan diyakini sebagai kelompok yang disponsori negara yang bekerja untuk China.
Operasinya telah didokumentasikan oleh beberapa perusahaan keamanan siber selama enam tahun terakhir [1, 2, 3].
Peneliti keamanan di Symantec mengatakan dalam sebuah laporan hari ini bahwa Billbug, yang telah mereka lacak sejak 2018, juga menargetkan perusahaan otoritas sertifikat, yang akan memungkinkan mereka untuk menyebarkan malware yang ditandatangani untuk membuatnya lebih sulit untuk mendeteksi atau mendekripsi lalu lintas HTTPS.
Kampanye baru, alat lama
Symantec belum menentukan bagaimana Billbug mendapatkan akses awal ke jaringan target, tetapi mereka telah melihat bukti terjadinya hal ini dengan mengeksploitasi aplikasi publik dengan kerentanan yang diketahui.
Seperti dalam kampanye sebelumnya yang dikaitkan dengan Billbug, aktor menggabungkan alat yang sudah ada di sistem target, utilitas yang tersedia untuk umum, dan malware khusus. Diantaranya adalah:
- Temukan Iklan
- Winmail
- WinRAR
- Ping
- Pelacak
- Rute
- NBTscan
- Certutil
- Pemindai Port
Alat ini membantu peretas berbaur dengan aktivitas harian yang tidak berbahaya, menghindari pelacakan log yang mencurigakan atau membunyikan alarm pada alat keamanan, dan secara umum mempersulit upaya atribusi.
Alat sumber terbuka yang lebih jarang digunakan yang terlihat dalam operasi Billbug baru-baru ini adalah Penumpang gelapalat proxy multi-level berbasis Go yang membantu pentester melewati pembatasan akses jaringan.
Symantec dapat menyematkan serangan baru-baru ini ke Billbug karena aktor ancaman menggunakan dua pintu belakang khusus yang terlihat di beberapa operasi mereka sebelumnya: Hannotog dan Sagerunex.
Beberapa fungsi dari pintu belakang Hannotog termasuk mengubah pengaturan firewall untuk mengaktifkan semua lalu lintas, membangun kegigihan pada mesin yang disusupi, mengunggah data terenkripsi, menjalankan perintah CMD, dan mengunduh file ke perangkat.
Sagerunex dijatuhkan oleh Hannotog dan menyuntikkan dirinya dalam proses “explorer.exe”. Kemudian menulis log pada file temp lokal yang dienkripsi menggunakan algoritma AES (256-bit).
Konfigurasi dan status backdoor juga disimpan secara lokal dan dienkripsi dengan RC4, dengan kunci untuk keduanya di-hardcode ke dalam malware.
Sagerunex terhubung ke server perintah dan perintah melalui HTTPS untuk mengirim daftar proksi dan file aktif, dan menerima payload dan perintah shell dari operator. Selain itu, dapat menjalankan program dan DLL menggunakan “runexe” dan “rundll”.
Billbug terus menggunakan pintu belakang khusus yang sama dengan sedikit perubahan selama beberapa tahun terakhir.
