Grup peretasan APT baru yang dijuluki Lancefly menggunakan malware pintu belakang khusus ‘Merdoor’ untuk menargetkan organisasi pemerintah, penerbangan, dan telekomunikasi di Asia Selatan dan Tenggara.
Symantec Threat Labs mengungkapkan hari ini bahwa Lancefly telah menerapkan backdoor Merdoor yang tersembunyi dalam serangan yang sangat tertarget sejak 2018 untuk membangun persistensi, menjalankan perintah, dan melakukan keylogging pada jaringan perusahaan.
“Malware khusus Lancefly, yang kami beri nama Merdoor, adalah pintu belakang kuat yang tampaknya telah ada sejak 2018,” ungkap yang baru laporan Symantec.
“Peneliti Symantec mengamati bahwa itu digunakan dalam beberapa aktivitas pada tahun 2020 dan 2021, serta kampanye yang lebih baru ini, yang berlanjut hingga kuartal pertama tahun 2023. Motivasi di balik kedua kampanye ini diyakini adalah pengumpulan intelijen.”
Lancefly diyakini berfokus pada spionase dunia maya, yang bertujuan untuk mengumpulkan intelijen dari jaringan korbannya dalam jangka waktu yang lama.
Rantai serangan yang luas
Symantec belum menemukan vektor infeksi awal yang digunakan oleh Lancefly. Namun, telah ditemukan bukti bahwa kelompok ancaman menggunakan email phishing, pemaksaan kredensial SSH, dan eksploitasi kerentanan server yang dihadapi publik untuk akses tidak sah selama bertahun-tahun.
Setelah penyerang membangun kehadiran di sistem target, mereka menyuntikkan pintu belakang Merdoor melalui pemuatan samping DLL ke ‘perfhost.exe’ atau ‘svchost.exe,’ keduanya proses Windows yang sah yang membantu malware menghindari deteksi.
Merdoor membantu Lancefly mempertahankan akses dan pijakan mereka di sistem korban, menginstal dirinya sendiri sebagai layanan yang tetap ada di antara reboot.
Merdoor kemudian menjalin komunikasi dengan server C2 menggunakan salah satu dari beberapa protokol komunikasi yang didukung (HTTP, HTTPS, DNS, UDP, dan TCP) dan menunggu instruksi.
Selain mendukung pertukaran data dengan server C2, Merdoor juga dapat menerima perintah dengan mendengarkan port lokal; namun, analis Symantec belum memberikan contoh yang spesifik.
Backdoor juga merekam penekanan tombol pengguna untuk menangkap informasi yang berpotensi berharga seperti nama pengguna, kata sandi, atau rahasia lainnya.
Lancefly juga telah diamati menggunakan fitur ‘Atexec’ Impacket untuk segera menjalankan tugas terjadwal pada mesin jarak jauh melalui SMB. Diyakini bahwa pelaku ancaman menggunakan fitur ini untuk menyebar secara lateral ke perangkat lain di jaringan atau menghapus file keluaran yang dibuat dari perintah lain.
Penyerang mencoba mencuri kredensial dengan membuang memori proses LSASS atau mencuri kumpulan registri SAM dan SISTEM.
Akhirnya, Lancefly mengenkripsi file yang dicuri menggunakan versi masqueraded dari alat pengarsipan WinRAR dan kemudian mengekstrak datanya, kemungkinan besar menggunakan Merdoor.
Rootkit ZXShell
Penggunaan versi rootkit ZXShell yang lebih baru, lebih ringan, dan lebih kaya fitur juga diamati dalam serangan Lancefly.
Pemuat rootkit, “FormDII.dll,” mengekspor fungsi yang dapat digunakan untuk melepaskan muatan yang cocok dengan arsitektur sistem host, membaca dan mengeksekusi kode shell dari file, mematikan proses, dan banyak lagi.
Rootkit juga menggunakan utilitas penginstalan dan pemutakhiran yang berbagi kode umum dengan pemuat Merdoor, yang menunjukkan bahwa Lancefly menggunakan basis kode bersama untuk alat mereka.
Fungsionalitas instalasi ZXShell mendukung pembuatan, pembajakan, dan peluncuran layanan, modifikasi registri, dan mengompresi salinan yang dapat dieksekusi sendiri untuk penghindaran dan ketahanan.
Tautan ke Cina
Rootkit ZXShell secara longgar menghubungkan Lancefly ke grup APT China lainnya yang telah menggunakan alat tersebut dalam serangan, termasuk APT17 dan APT41.
Namun, tautannya lemah karena kode sumber rootkit telah tersedia untuk umum selama beberapa tahun.
Nama “formdll.dll” Lancefly untuk rootkit loader sebelumnya telah dilaporkan dalam kampanye APT27, alias “Budworm.”
Namun, tidak jelas apakah ini merupakan pilihan yang disengaja untuk menyesatkan analis dan mempersulit atribusi.
Elemen yang lebih jauh mendukung hipotesis bahwa Lancefly berasal dari Cina adalah penggunaan yang diamati dari the PlugX Dan ShadowPad RAT (trojan akses jarak jauh), yang dibagikan di antara beberapa grup APT China.
