Peretas Cina yang didukung negara meluncurkan kampanye spearphishing untuk mengirimkan malware khusus yang disimpan di Google Drive ke organisasi pemerintah, penelitian, dan akademik di seluruh dunia.
Serangan tersebut telah diamati antara Maret dan Oktober 2022 dan para peneliti mengaitkannya dengan kelompok spionase dunia maya Mustang Panda (Presiden Perunggu, TA416).
Menurut peneliti Trend Micro, kelompok ancaman menargetkan sebagian besar organisasi di Australia, Jepang, Taiwan, Myanmar, dan Filipina.
Peretas Cina menggunakan akun Google untuk mengirim pesan email target mereka dengan umpan yang menipu mereka untuk mengunduh malware khusus dari tautan Google Drive.
Detail infeksi
Dalam sebuah laporan hari ini, peneliti Trend Micro mengatakan bahwa peretas menggunakan pesan dengan subjek geopolitik dan kebanyakan dari mereka (84%) menargetkan organisasi pemerintah/hukum.
Untuk melewati mekanisme keamanan, tautan tersemat mengarah ke folder Google Drive atau Dropbox, keduanya merupakan platform resmi dengan reputasi baik yang biasanya tidak terlalu mencurigakan.
Tautan ini mengarah pada pengunduhan file terkompresi (RAR, ZIP, JAR) dengan jenis malware khusus seperti ToneShell, ToneIns, dan PubLoad.
“Subjek email mungkin kosong atau mungkin memiliki nama yang sama dengan arsip berbahaya,” jelas laporan tersebut.
“Daripada menambahkan alamat korban ke tajuk “Ke” email, pelaku ancaman menggunakan email palsu. Sementara itu, alamat korban sebenarnya ditulis di tajuk “CC”, kemungkinan untuk menghindari analisis keamanan dan memperlambat penyelidikan.” – Mikro Tren
Meskipun peretas menggunakan berbagai rutinitas pemuatan malware, proses tersebut biasanya melibatkan pemuatan samping DLL setelah korban meluncurkan hadiah yang dapat dieksekusi di arsip. Dokumen umpan ditampilkan di latar depan untuk meminimalkan kecurigaan.
Evolusi malware
Tiga jenis malware yang digunakan dalam kampanye ini adalah PubLoad, ToneIns, dan ToneShell.
Dari tiga bagian malware khusus yang digunakan dalam kampanye, hanya PubLoad yang sebelumnya didokumentasikan dalam a Laporan Cisco Talos dari Mei 2022 menggambarkan kampanye melawan target Eropa.
PubLoad adalah stager yang bertanggung jawab untuk membuat persistensi dengan menambahkan kunci registri dan membuat tugas terjadwal, mendekripsi kode shell, dan menangani komunikasi perintah dan kontrol (C2).
Trend Micro mengatakan bahwa versi PubLoad yang lebih baru menampilkan mekanisme anti-analisis yang lebih canggih, menyiratkan bahwa Mustang Panda secara aktif bekerja untuk meningkatkan alat tersebut.
ToneIns adalah penginstal untuk ToneShell, pintu belakang utama yang digunakan dalam kampanye baru-baru ini. Itu menggunakan kebingungan untuk menghindari deteksi dan memuat ToneShell sambil juga membangun kegigihan pada sistem yang disusupi.
ToneShell adalah backdoor mandiri yang dimuat langsung di memori, menampilkan pengaburan aliran kode melalui penerapan penangan pengecualian khusus.
Ini juga berfungsi sebagai mekanisme anti-kotak pasir, karena pintu belakang tidak akan dijalankan di lingkungan debug.
sumber: Trend Micro
Setelah terhubung ke C2, ToneShell mengirimkan paket dengan data ID korban dan kemudian menunggu instruksi baru.
Perintah ini memungkinkan mengunggah, mengunduh, dan mengeksekusi file, membuat shell untuk pertukaran data intranet, mengubah konfigurasi tidur, dan banyak lagi.
Aktivitas mustang panda
Trend Micro mengatakan kampanye baru-baru ini menampilkan teknik, taktik, dan prosedur (TTP) Mustang Panda yang sama Secureworks melaporkan pada September 2022.
Kampanye terbaru menunjukkan tanda-tanda peningkatan perangkat dan kemampuan untuk berkembang, yang meningkatkan kemampuan peretas China untuk mengumpulkan intelijen dan menembus target.
Awal tahun ini, Proofpoint melaporkan bahwa Mustang Panda memfokuskan operasinya di Eropa, menargetkan diplomat berpangkat tinggi.
Laporan Secureworks dari sekitar waktu yang sama terlihat kampanye Mustang Panda terpisahkali ini menargetkan pejabat Rusia.
Pada Maret 2022, ESET menjelajahi operasi Mustang Panda di Asia Tenggara, Eropa Selatan, dan Afrika, yang menunjukkan bahwa geng spionase China tersebut adalah ancaman global meskipun memiliki ledakan aktivitas terfokus jangka pendek.
