Para peneliti di Symantec telah menemukan serangan siber yang dikaitkan dengan aktor spionase terkait China APT41 (alias Winnti) yang melanggar lembaga pemerintah di Hong Kong dan tidak terdeteksi selama satu tahun dalam beberapa kasus.
Pelaku ancaman telah menggunakan malware khusus yang disebut Spyder Loader, yang sebelumnya dikaitkan dengan grup.
Pada Mei 2022, para peneliti di Cybereason menemukan ‘Operasi CuckooBees’, yang telah berlangsung sejak 2019 dengan fokus pada perusahaan teknologi tinggi dan manufaktur di Amerika Utara, Asia Timur, dan Eropa Barat.
Laporan Symantec mencatat bahwa ada tanda-tanda bahwa aktivitas Hong Kong yang baru ditemukan adalah bagian dari operasi yang sama, dan target Winnti adalah lembaga pemerintah di wilayah administrasi khusus.
Dalam Operasi CuckooBees, Winnti menggunakan versi baru dari pintu belakang Spyder Loader. Laporan Symantec menunjukkan bahwa peretas terus mengembangkan malware, menyebarkan beberapa varian pada target, semuanya dengan fungsi yang sama.
Beberapa kesamaan yang ditemukan Symantec jika dibandingkan dengan versi yang dianalisis oleh Cybereason antara lain:
- menggunakan perpustakaan CryptoPP C++
- penyalahgunaan rundll32.exe untuk eksekusi pemuat malware
- dikompilasi sebagai salinan modifikasi DLL 64-bit dari SQLite3 DLL untuk mengelola database SQLite, sqlite3.dll, dengan ekspor berbahaya (sqlite3_extension_init)
Digunakan pada tahap infeksi awal, Spyder Loader memuat gumpalan terenkripsi AES yang membuat muatan tahap berikutnya, “wlbsctrl.dll.”
Analis Symantec juga mengamati penyebaran ekstraktor kata sandi Mimikatz dalam kampanye terbaru, yang memungkinkan pelaku ancaman untuk menggali lebih dalam ke jaringan korban.
Selain itu, para peneliti melihat “ZLib DLL trojan yang memiliki beberapa ekspor berbahaya, salah satunya tampaknya menunggu komunikasi dari server perintah-dan-kontrol, sementara yang lain akan memuat muatan dari nama file yang disediakan di baris perintah. .”
Meskipun Symantec tidak dapat mengambil muatan terakhir, tampaknya tujuan dalam kampanye terbaru APT41 adalah untuk mengumpulkan intelijen dari entitas kunci di Hong Kong.
Sumber: Bleeping Computer
