Seorang pelaku ancaman yang muncul dari China telah ditelusuri ke kempen penggodaman baru yang ditujukan kepada agensi pemerintah di India dan penduduk Hong Kong yang berniat mencuri maklumat sensitif, kata firma keselamatan siber Malwarebytes dalam laporan terbaru yang dikongsi dengan The Hacker News.
Serangan itu dilihat pada minggu pertama bulan Julai, bertepatan dengan undang-undang keselamatan kontroversial di Hong Kong dan larangan 59 aplikasi buatan China oleh India atas masalah privasi, beberapa minggu setelah berlaku pertempuran ganas di sepanjang perbatasan Indo-China.
Mengaitkan serangan itu dengan “keyakinan sederhana” kepada kumpulan APT Cina baru, Malwarebytes mengatakan bahawa mereka dapat mengesan kegiatan mereka berdasarkan “percubaan pancingan data yang unik” yang dirancang untuk menjejaskan sasaran di India dan Hong Kong.
Pengendali kumpulan APT telah memanfaatkan sekurang-kurangnya tiga Taktik, Teknik, dan Prosedur (TTP) yang berbeza, menggunakan e-mel spear-phishing untuk menjatuhkan varian malware Cobalt Strike dan MgBot, dan aplikasi Android palsu untuk mengumpulkan catatan panggilan, kenalan, dan SMS mesej.
“Gewang yang digunakan dalam kempen ini menunjukkan bahawa pelaku ancaman itu mungkin menyasarkan pemerintah India dan individu di Hong Kong, atau sekurang-kurangnya mereka yang menentang undang-undang keselamatan baru yang dikeluarkan oleh China,” kata firma itu.
Menggunakan Spear-Phishing untuk Memasang MgBot Malware
Varian pertama, diperhatikan pada bulan Julai 2, penerima yang diberitahu dengan domain “gov.in” yang menyatakan bahawa beberapa alamat e-mel mereka telah dibocorkan dan bahawa mereka akan menyelesaikan pemeriksaan keselamatan sebelum bulan Julai 5.
E-mel disertakan dengan “Mail security check.docx” kononnya dari Pusat Keselamatan Maklumat Kerajaan India.
Setelah dibuka, ia menggunakan suntikan templat untuk memuat turun templat jarak jauh dan melaksanakan varian Cobalt Strike yang sangat kabur.
Tetapi sehari selepas serangan tersebut, pengendali menukar muatan Cobalt Strike yang berbahaya untuk versi perisian hasad MgBot yang dikemas kini.
Dan dalam versi ketiga dilihat di alam liar pada bulan Julai 5, para penyelidik memerhatikan APT menggunakan dokumen terbenam yang sama sekali berbeza dengan pernyataan mengenai Hong Kong dari Perdana Menteri UK, Boris Johnson yang dikatakan berjanji untuk mengakui tiga juta orang Hong Kong ke negara itu.
Perintah jahat untuk memuat turun dan melepaskan pemuat – yang dikodkan dalam dokumen – dilaksanakan menggunakan protokol pertukaran data dinamik (DDE), sistem komunikasi interproses yang membolehkan data dikomunikasikan atau dikongsi antara Windows aplikasi.
KADAR Dengan Beberapa Keupayaan
Loader yang digugurkan (“ff.exe”) menyamar sebagai alat Pengurus Audio Realtek dan mengandungi empat sumber terbenam, dua di antaranya ditulis dalam Bahasa Cina Ringkas.
Ini, bersamaan dengan penggunaan DDE dan templat templat, menunjukkan bahawa kempen tersebut dapat menjadi hasil karya pelaku ancaman yang berpangkalan di China, mengingat sejarah serangan sebelumnya yang memanfaatkan TTP yang sama.
Selanjutnya, loader meningkatkan hak istimewa melalui pintasan CMSTP sebelum memasang muatan akhir, sementara juga mengambil langkah-langkah untuk mengelakkan pengesanan oleh debuger dan perisian keselamatan.
Untuk menggagalkan analisis statik, “kod itu sendiri mengubah suai yang bermaksud mengubah bahagian kodnya semasa menjalankan,” kata para penyelidik.
“Ia menggunakan panggilan API ‘GetTickCount’ dan ‘QueryPerformanceCounter’ untuk mengesan persekitaran penyahpepijat.
Untuk mengesan jika dijalankan dalam persekitaran maya, ia menggunakan arahan pengesanan anti-vm seperti ‘sldt’ dan ‘cpid’ yang dapat memberikan maklumat mengenai pemproses dan juga memeriksa port Vmware IO (VMXH).
“
Pada akhirnya, perisian hasad akhir ini dapat dilaksanakan (“pMsrvd.dll”) yang digunakan untuk melakukan aktiviti jahat, yang dilakukannya dengan menyamar sebagai “Video Team Desktop App.”
Trojan administrasi jarak jauh (RAT) tidak hanya mampu membuat sambungan ke pelayan arahan dan kawalan jauh (C2) yang terletak di Hong Kong, tetapi juga mampu menangkap ketukan kekunci, tangkapan skrin, dan menguruskan fail dan proses.
Lebih-lebih lagi, para penyelidik juga menemui beberapa aplikasi Android yang berniat jahat sebagai sebahagian dari set alat kumpulan yang dilengkapi dengan fitur RAT, seperti rakaman audio dan skrin dan fungsi untuk menyatukan lokasi telefon dan mengelak kenalan, log panggilan, SMS, dan sejarah web.
Menariknya, nampaknya kumpulan APT China baru ini telah aktif sekurang-kurangnya sejak 2014, dengan TTPnya dikaitkan dengan sekurang-kurangnya tiga serangan yang berbeza pada tahun 2014, 2018, dan Mac 2020.
Dalam semua kempen mereka, pelakon itu menggunakan varian MgBot untuk bertemu objektifnya.
