Sepasang laporan dari perusahaan keamanan siber SEKOIA dan Trend Micro menyoroti kampanye baru yang dilakukan oleh aktor ancaman China bernama Lucky Mouse yang melibatkan pemanfaatan versi trojan dari aplikasi perpesanan lintas platform ke sistem pintu belakang.
Rantai infeksi memanfaatkan aplikasi obrolan yang disebut MiMi, dengan file penginstalnya dikompromikan untuk mengunduh dan menginstal sampel HyperBro untuk sistem operasi Windows dan artefak rshell untuk Linux dan macOS.
Sebanyak 13 entitas berbeda yang berlokasi di Taiwan dan Filipina telah menerima serangan, delapan di antaranya terkena rshell. Korban pertama rshell dilaporkan pada pertengahan Juli 2021.
Lucky Mouse, juga disebut APT27, Bronze Union, Utusan Panda, dan Iron Tiger, diketahui aktif sejak 2013 dan memiliki sejarah mendapatkan akses ke jaringan yang ditargetkan dalam mengejar tujuan pengumpulan intelijen politik dan militer yang selaras dengan China.
Aktor ancaman persisten (APT) tingkat lanjut juga mahir dalam mengekstrak informasi bernilai tinggi menggunakan berbagai macam implan khusus seperti SysUpdate, HyperBro, dan PlugX.
Perkembangan terbaru sangat signifikan, paling tidak karena menandai upaya pengenalan aktor ancaman untuk menargetkan macOS bersama Windows dan Linux.
Kampanye ini memiliki semua keunggulan serangan rantai pasokan di mana server backend yang menghosting penginstal aplikasi MiMi dikendalikan oleh Lucky Mouse, sehingga memungkinkan untuk men-tweak aplikasi untuk mengambil backdoors dari server jarak jauh.
Ini dibuktikan dengan fakta bahwa macOS versi 2.3.0 aplikasi telah dirusak untuk memasukkan kode JavaScript berbahaya pada 26 Mei 2022. Meskipun ini mungkin merupakan varian macOS pertama yang disusupi, versi 2.2.0 dan 2.2.1 dibuat untuk Windows telah ditemukan untuk memasukkan tambahan serupa pada 23 November 2021.
rshell, pada bagiannya, adalah pintu belakang standar yang dilengkapi dengan semua lonceng dan peluit biasa, memungkinkan eksekusi perintah arbitrer yang diterima dari server command-and-control (C2) dan mengirimkan hasil eksekusi kembali ke server.
Tidak segera jelas apakah MiMi adalah program obrolan yang sah, atau apakah itu “dirancang atau digunakan kembali sebagai alat pengawasan,” meskipun aplikasi tersebut telah digunakan oleh aktor berbahasa Cina lainnya yang dijuluki Earth Berberoka (alias GamblingPuppet) yang ditujukan untuk situs perjudian online. – sekali lagi menunjukkan pembagian alat yang lazim di antara grup APT Cina.
Koneksi operasi ke Lucky Mouse berasal dari tautan ke infrastruktur yang sebelumnya diidentifikasi seperti yang digunakan oleh perangkat intrusi China-nexus dan penyebaran HyperBro, pintu belakang yang secara eksklusif digunakan oleh kelompok peretas.
Seperti yang ditunjukkan SEKOIA, ini bukan pertama kalinya musuh menggunakan aplikasi perpesanan sebagai titik awal dalam serangannya. Pada akhir 2020, ESET mengungkapkan bahwa perangkat lunak obrolan populer bernama Able Desktop disalahgunakan untuk mengirimkan HyperBro, PlugX, dan trojan akses jarak jauh bernama Tmanger yang menargetkan Mongolia.
Sumber: The Hackernews
