Peneliti keamanan siber telah menemukan kampanye baru yang dikaitkan dengan kelompok peretasan “Tropic Trooper” China, yang menggunakan pemuat baru bernama Nimbda dan varian baru trojan Yahoyah.
Trojan dibundel dalam alat greyware bernama ‘SMS Bomber,’ yang digunakan untuk serangan penolakan layanan (DoS) terhadap ponsel, membanjiri mereka dengan pesan. Alat seperti ini biasanya digunakan oleh pelaku ancaman “pemula” yang ingin melancarkan serangan terhadap situs.
Menurut sebuah laporan oleh Check Point, pelaku ancaman juga menunjukkan pengetahuan kriptografi yang mendalam, memperluas spesifikasi AES dalam implementasi khusus.
Infeksi dimulai dengan mengunduh versi berbahaya dari SMS Bomber, yang berisi fungsi biner dan standar alat. Namun, unduhan telah dimodifikasi untuk menyertakan kode tambahan yang dimasukkan ke dalam proses notepad.exe.
Eksekusi yang diunduh sebenarnya adalah pemuat ‘Nimbda’, yang menggunakan ikon SMS Bomber, dan berisi SMS Bomber sebagai executable yang disematkan.
Di latar belakang, loader menyuntikkan shellcode ke dalam proses notepad untuk mencapai repositori GitHub, mengambil executable yang dikaburkan, mendekodekannya, dan kemudian menjalankannya melalui proses lekukan di ‘dllhost.exe.’
Payload ini adalah varian Yahoyah baru, yang mengumpulkan data tentang host dan mengirimkannya ke server C2.
Payload terakhir, dijatuhkan oleh executable Yahoyah, dikodekan dalam gambar JPG menggunakan steganografi. Check Point mengidentifikasinya sebagai ‘TClient’, Trooper Tropic pintu belakang yang digunakan dalam kampanye sebelumnya.
Enkripsi yang digunakan untuk membungkus Yahoyah adalah implementasi kustom dari AES, yang melakukan urutan terbalik dari operasi putaran dua kali; maka Check Point menamakannya AEES.
(Titik Cek)
Ini tidak membuat enkripsi menjadi lebih kuat tetapi membuat analisis sampel menjadi sangat sulit, membuat para peneliti yang tidak memiliki tekad yang kuat atau membuat pekerjaan mereka jauh lebih membosankan.
Tropic Trooper adalah aktor ancaman canggih yang berfokus pada spionase, yang sebelumnya terlihat menjalankan kampanye phishing terhadap pejabat Rusia.
Trojanizing ‘SMS Bomb’ menunjukkan tepat, penargetan sempit, sehingga kemungkinan keputusan berdasarkan intelijen yang dikumpulkan selama spionase sebelumnya.
Meskipun cakupan penargetan yang tepat tidak diketahui, kampanye ini menunjukkan kemampuan Tropic Trooper untuk membuat umpan apa pun yang diperlukan untuk operasi, pengetahuan kriptografi, dan aktivitas pengembangan malware mereka.
Sumber: Bleeping Computer
