Peneliti keamanan telah mengamati kelompok peretas yang menargetkan perusahaan di sektor penelitian material dengan perangkat unik yang mencakup trojan akses jarak jauh khusus (RAT) yang disebut Atharvan.
Aktor ancaman sedang dilacak sebagai Clasiopa oleh Symantec, sebuah perusahaan Broadcom, yang analisnya menemukan petunjuk yang mengarah ke aktor ancaman India. Namun, atribusi tetap tidak jelas karena ada sedikit bukti yang mendukung teori apapun.
Detail serangan Clasiopa
Meskipun tidak ada data kuat untuk menunjukkan vektor infeksi awal tertentu, peneliti Symantec menemukan petunjuk yang menunjukkan bahwa Clasiopa menggunakan kekerasan untuk mendapatkan akses ke server publik.
Symantec melaporkan bahwa penyerang melakukan berbagai tindakan pasca-kompromi, termasuk:
- memeriksa alamat IP dari sistem yang dilanggar
- menonaktifkan produk perlindungan titik akhir dengan menghentikan layanan mereka
- menyebarkan malware yang dapat memindai file tertentu dan mengekstraknya sebagai arsip ZIP
- membersihkan log Sysmon dan log peristiwa untuk menghapus jejak aktivitas berbahaya
- membuat tugas terjadwal (“layanan jaringan”) untuk mencantumkan nama file
Investigasi Symantec mengungkapkan bahwa selain pintu belakangnya, Clasiopa juga menggunakan perangkat lunak resmi seperti Agile DGS dan Agile FD, yang ditandatangani dengan sertifikat lama.
Para peretas mengandalkan dua pintu belakang untuk serangan mereka: Atharvan khusus dan sumber terbuka Lilith RAT. Yang terakhir dapat digunakan untuk menjalankan perintah, menjalankan skrip PowerShell, dan untuk memanipulasi proses pada sistem yang dilanggar.
Clasiopa juga menggunakan alat proxy khusus dan “Thumbsender”, utilitas yang mencantumkan file di host dan menyimpannya secara lokal di database yang dapat diekstraksi di lain waktu ke alamat IP tertentu.
kemampuan Atharvan
Atharvan adalah alat paling menarik yang digunakan oleh Clasiopa karena ini adalah pintu belakang khusus yang tidak terlihat dalam serangan lain di alam liar.
Setelah dieksekusi, itu membuat mutex untuk mencegah beberapa proses berjalan sendiri dan kemudian menghubungi alamat perintah dan kontrol (C2) yang di-hardcode di lokasi yang tidak biasa, infrastruktur Layanan Web Amazon di Seoul, Korea Selatan.
Di bawah ini adalah contoh komunikasi pintu belakang dengan server C2, yang diformat sebagai permintaan HTTP POST ke host yang diduga sah, server pembaruan Microsoft.
Fitur lain yang tidak biasa adalah dapat dikonfigurasi untuk komunikasi terjadwal dengan C2 dan bahkan dapat diatur untuk mencoba koneksi selama hari-hari tertentu dalam seminggu atau sebulan.
Dalam hal kemampuannya, Atharvan mengunduh file di komputer yang disusupi, menjalankan file yang dapat dieksekusi, menjalankan perintah, dan mengirim kembali hasilnya.
Para peneliti mencatat bahwa komunikasi Atharvan dengan C2 dilindungi menggunakan algoritme sederhana untuk meng-XOR setiap byte teks biasa dengan nilai “2” untuk menghasilkan teks sandi. Ini tidak mencapai hasil enkripsi yang kuat tetapi masih dapat membantu malware menghindari beberapa alat pemantauan lalu lintas jaringan.
Petunjuk yang menunjuk ke aktor ancaman di India adalah mutex dalam bahasa Hindi yang ditemukan para peneliti di backdoor khusus: “SAPTARISHI-ATHARVAN-101,” Atharvan merujuk pada pendeta legendaris dalam mitologi Veda, putra Brahmā, Sang Pencipta. Petunjuk lainnya adalah kata sandi yang digunakan penyerang untuk arsip ZIP, yaitu “iloveindea1998^_^.”
Namun, kedua petunjuk itu bisa jadi merupakan bendera palsu yang dipasang untuk atribusi yang salah.
Pintu belakang Atharvan sebagian besar tidak terdeteksi saat ini. Hanya ada satu sampel yang tersedia di platform pemindaian VirusTotal dan itu ditandai sebagai ancaman hanya oleh dua mesin antivirus.
Gol Clasiopa saat ini masih belum jelas, tetapi spionase dunia maya tampaknya menjadi motivasi di balik serangan tersebut. Para peneliti mengatakan bahwa aktor ancaman telah mengincar korban di Asia.
Laporan Symantec menyediakan satu set hash untuk malware yang ditemukan dalam kampanye jahat yang dikaitkan dengan Clasiopa.
Indikator kompromi termasuk hash untuk dua pintu belakang (Atharvan dan Lilith) serta alat yang digunakan aktor ancaman dalam serangan.
