Kelompok peretas mata-mata siber Sharp Panda menargetkan entitas pemerintah terkenal di Vietnam, Thailand, dan Indonesia dengan versi baru dari kerangka kerja malware ‘Soul’.
Malware tertentu sebelumnya terlihat dalam kampanye spionase yang menargetkan organisasi-organisasi penting di Asia Tenggara, yang dikaitkan dengan berbagai APT China.
Titik Periksa mengidentifikasi kampanye baru menggunakan malware yang dimulai pada akhir 2022 dan berlanjut hingga 2023, menggunakan serangan spear-phishing untuk kompromi awal.
Penggunaan kit RTF RoyalRoad, alamat server C2, dan jam kerja peretas memungkinkan Check Point mengaitkan operasi spionase terbaru dengan peretas China yang didukung negara. TTP dan alat konsisten dengan aktivitas yang terlihat sebelumnya oleh Sharp Panda.
Rantai infeksi
Kampanye Sharp Panda yang baru menggunakan email spear-phishing dengan lampiran file DOCX berbahaya yang menyebarkan kit RoyalRoad RTF untuk mencoba mengeksploitasi kerentanan yang lebih lama untuk menjatuhkan malware di host.
Dalam hal ini, eksploit membuat tugas terjadwal dan kemudian menjatuhkan dan menjalankan pengunduh malware DLL, yang pada gilirannya mengambil dan mengeksekusi DLL kedua dari server C2, loader SoulSearcher.
DLL kedua ini membuat kunci registri dengan nilai yang berisi payload terkompresi terakhir dan kemudian mendekripsi dan memuat pintu belakang modular Soul ke dalam memori, membantunya menghindari deteksi dari alat antivirus yang berjalan pada sistem yang dilanggar.
Detail jiwa
Setelah dieksekusi, modul utama malware Soul membuat koneksi dengan C2 dan menunggu modul tambahan yang akan memperluas fungsinya.
Versi baru yang dianalisis oleh Check Point menampilkan mode “keheningan radio” yang memungkinkan pelaku ancaman untuk menentukan jam tertentu dalam seminggu di mana pintu belakang tidak boleh berkomunikasi dengan server perintah dan kontrol, kemungkinan untuk menghindari deteksi selama jam kerja korban.
“Ini adalah fitur OpSec canggih yang memungkinkan para pelaku memadukan aliran komunikasi mereka ke dalam lalu lintas umum dan mengurangi kemungkinan terdeteksinya komunikasi jaringan.” jelas Check Point.
Selain itu, varian baru mengimplementasikan protokol komunikasi C2 khusus yang menggunakan berbagai metode permintaan HTTP, termasuk GET, POST, dan DELETE.
Dukungan untuk beberapa metode HTTP memberikan fleksibilitas malware, karena GET digunakan untuk mengambil data, POST untuk mengirimkan data.
Komunikasi Soul dengan C2 dimulai dengan mendaftarkan dirinya dan mengirimkan data sidik jari korban (detail perangkat keras, tipe OS, zona waktu, alamat IP), setelah itu memasuki loop kontak C2 yang tak terbatas.
Perintah yang mungkin diterima selama komunikasi ini terkait dengan memuat modul tambahan, mengumpulkan dan mengirim ulang data enumerasi, memulai kembali komunikasi C2, atau keluar dari prosesnya.
Check Point tidak mengambil sampel modul tambahan yang mungkin melakukan fungsi yang lebih khusus seperti tindakan file, eksfiltrasi data, keylogging, tangkapan layar, dll.
Kerangka Jiwa pertama kali terlihat di alam liar pada tahun 2017 dan kemudian dilacak sepanjang tahun 2019 dalam kampanye spionase Tiongkok yang dilakukan oleh pelaku ancaman tanpa hubungan yang jelas dengan Sharp Panda.
Meskipun tumpang tindih dalam penggunaan alat tersebut, temuan terbaru Check Point menunjukkan bahwa Soul masih dalam pengembangan dan penyebaran aktif.
