Peretas APT Pahit Menambahkan Bangladesh ke Daftar Target mereka di Asia Selatan

Peretas APT Pahit Menambahkan Bangladesh ke Daftar Goal mereka di Asia Selatan

Aktor ancaman yang berfokus pada spionase yang dikenal karena menargetkan China, Pakistan, dan Arab Saudi telah berkembang untuk mengarahkan pandangannya pada organisasi pemerintah Bangladesh sebagai bagian dari kampanye berkelanjutan yang dimulai pada Agustus 2021.

Perusahaan keamanan siber Cisco Talos mengaitkan aktivitas tersebut dengan keyakinan moderat dengan kelompok peretas yang dijuluki APT pahit berdasarkan tumpang tindih dalam infrastruktur perintah-dan-kontrol (C2) dengan kampanye sebelumnya yang dipasang oleh aktor yang sama.

“Bangladesh sesuai dengan profil yang telah kami tetapkan untuk aktor ancaman ini, yang sebelumnya menargetkan negara-negara Asia Tenggara termasuk CinaPakistan, dan Arab Saudi,” Vitor Ventura, peneliti keamanan utama di Cisco Talos untuk EMEA dan Asia, diberi tahu Berita Peretas.

“Dan sekarang, dalam kampanye terbaru ini, mereka telah memperluas jangkauan mereka ke Bangladesh. Setiap negara baru di Asia Tenggara yang menjadi sasaran Bitter APT seharusnya tidak mengejutkan.”

Bitter (alias APT-C-08 atau T-APT-17) diduga sebagai kelompok peretas Asia Selatan yang dimotivasi terutama oleh pengumpulan intelijen, sebuah operasi yang difasilitasi oleh malware seperti BitterRAT, ArtraDownloader, dan AndroRAT. Goal utama mencakup sektor energi, teknik, dan pemerintah.

Serangan paling awal adalah mendistribusikan versi seluler BitterRAT sejak September 2014, dengan aktor yang memiliki sejarah memanfaatkan kelemahan zero-day — CVE-2021-1732 dan CVE-2021-28310 — untuk keuntungannya dan mencapai tujuan permusuhannya.

Kampanye terbaru, yang menargetkan entitas elit pemerintah Bangladesh, melibatkan pengiriman electronic mail spear-phishing ke perwira tinggi Unit Batalyon Aksi Cepat polisi Bangladesh (RAB).

Seperti yang biasanya diamati dalam serangan rekayasa sosial lain semacam ini, surat-surat tersebut dirancang untuk memikat penerima agar membuka dokumen RTF yang dipersenjatai atau spreadsheet Microsoft Excel yang mengeksploitasi kelemahan yang diketahui sebelumnya dalam perangkat lunak untuk menyebarkan trojan baru; dijuluki “ZxxZ.”

ZxxZ, dinamai demikian setelah pemisah yang digunakan oleh malware saat mengirim informasi kembali ke server C2, adalah executable Home windows 32-bit yang dikompilasi dalam Visible C++.

“Trojan menyamar sebagai layanan pembaruan Keamanan Home windows dan memungkinkan aktor jahat melakukan eksekusi kode jarak jauh, memungkinkan penyerang melakukan aktivitas lain dengan menginstal alat lain,” jelas para peneliti.

Sementara dokumen RTF berbahaya mengeksploitasi kerentanan kerusakan memori di Editor Persamaan Microsoft Workplace (CVE-2017-11882), file Excel menyalahgunakan dua kelemahan eksekusi kode jarak jauh, CVE-2018-0798 dan CVE-2018-0802untuk mengaktifkan urutan infeksi.

“Aktor sering mengubah alat mereka untuk menghindari deteksi atau atribusi, ini adalah bagian dari siklus hidup aktor ancaman yang menunjukkan kemampuan dan tekadnya,” kata Ventura.



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts