Seorang aktor ancaman yang diduga berasal dari China telah dikaitkan dengan serangkaian 10 serangan yang menargetkan Mongolia, Rusia, Belarusia, Kanada, dan AS dari Januari hingga Juli 2021 yang melibatkan penyebaran trojan akses jarak jauh (RAT) pada sistem yang terinfeksi, menurut penelitian baru.
Intrusi telah dikaitkan dengan ancaman persisten canggih bernama APT31 (FireEye), yang dilacak oleh komunitas keamanan siber sebagai moniker Zirkonium (Microsoft), Judgment Panda (CrowdStrike), dan Bronze Vinewood (Secureworks).
Kelompok tersebut adalah “aktor spionase cyber China-nexus yang berfokus pada perolehan informasi yang dapat memberikan keuntungan politik, ekonomi, dan militer kepada pemerintah China dan perusahaan milik negara,” menurut FireEye.
Positive Technologies, dalam sebuah tulisan yang diterbitkan Selasa, mengungkapkan dropper malware baru yang digunakan untuk memfasilitasi serangan, termasuk pengambilan muatan terenkripsi tahap berikutnya dari server perintah-dan-kontrol jarak jauh, yang kemudian didekodekan untuk mengeksekusi pintu belakang.
Kode berbahaya hadir dengan kapasitas untuk mengunduh malware lain, yang berpotensi menempatkan korban yang terkena dampak pada risiko lebih lanjut, serta melakukan operasi file, mengekstrak data sensitif, dan bahkan menghapus dirinya sendiri dari mesin yang disusupi.
Juga patut dicatat bahwa kesamaan malware dengan trojan bernama DropboxAES RAT yang digunakan oleh kelompok ancaman yang sama tahun lalu dan mengandalkan Dropbox untuk komunikasi command-and-control (C2), dengan banyak tumpang tindih yang ditemukan di teknik dan mekanisme yang digunakan untuk menyuntikkan kode serangan, mendaptkan persistence, dan mekanisme yang digunakan untuk menghapus alat spionase.
Selengkapnya: The Hacker News
