Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Backdoor

Backdoor

Pelanggaran software maker digunakan untuk backdoor sebanyak 200.000 server

by

Fishpig software maker e-commerce yang berbasis di Inggris dan digunakan oleh sebanyak 200.000 situs web, mendesak pelanggan untuk menginstal ulang atau memperbarui semua ekstensi program yang ada setelah menemukan pelanggaran keamanan pada server distribusinya yang memungkinkan para penjahat diam-diam melakukan backdoor sistem pelanggan.

Pelaku ancaman yang tidak dikenal menggunakan kendali mereka atas sistem FishPig untuk melakukan serangan rantai pasokan yang menginfeksi sistem pelanggan dengan Rekoobe, Backdoor canggih yang ditemukan pada bulan Juni.

Rekoobe menyamar sebagai server SMTP jinak dan dapat diaktifkan dengan perintah rahasia yang terkait dengan penanganan perintah startTLS dari penyerang melalui Internet. Setelah diaktifkan, Rekoobe menyediakan shell terbalik yang memungkinkan aktor ancaman untuk mengeluarkan perintah dari jarak jauh ke server yang terinfeksi.

FishPig adalah penjual integrasi Magento-WordPress. Magento adalah platform e-commerce open source yang digunakan untuk mengembangkan pasar online.

Tideswell mengatakan komitmen perangkat lunak terakhir yang dibuat ke servernya yang tidak menyertakan kode berbahaya dibuat pada 6 Agustus, membuat tanggal sedini mungkin kemungkinan terjadinya pelanggaran. Sansec, perusahaan keamanan yang menemukan pelanggaran dan pertama kali melaporkannya, mengatakan penyusupan itu dimulai pada atau sebelum 19 Agustus.

Tideswell mengatakan FishPig telah “mengirim email ke semua orang yang telah mengunduh sesuatu dari FishPig.co.uk dalam 12 minggu terakhir memperingatkan mereka atas apa yang terjadi.”

Dalam pengungkapan yang diterbitkan setelah Sansec advisory ditayangkan, FishPig mengatakan bahwa penyusup menggunakan akses mereka untuk menyuntikkan kode PHP berbahaya ke dalam file Helper/License.php yang disertakan di sebagian besar ekstensi FishPig.

Setelah diluncurkan, Rekoobe menghapus semua file malware dari disk dan hanya berjalan di memori. Untuk bersembunyi lebih lanjut, ia bersembunyi sebagai proses sistem yang mencoba meniru salah satu dari berikut ini:

/usr/sbin/cron -f
/sbin/udevd -d
crond
auditd
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus-daemon –system
/sbin/init
/usr/sbin/chronyd
/usr/libexec/postfix/master
/usr/lib/packagekit/packagekitd

Backdoor kemudian menunggu perintah dari server yang terletak di 46.183.217.2. Perusahaan keamanan mencurigai bahwa pelaku ancaman mungkin berencana untuk menjual akses ke toko yang terkena dampak secara massal di forum peretasan.

Baik Sansec dan FishPig mengatakan pelanggan harus berasumsi bahwa semua modul atau ekstensi terinfeksi. FishPig merekomendasikan pengguna untuk segera memutakhirkan semua modul FishPig atau menginstalnya kembali dari sumber untuk memastikan tidak ada kode yang terinfeksi yang tersisa. Langkah-langkah khusus meliputi:

Instal Ulang Ekstensi FishPig (Pertahankan Versi)
rm -rf vendor/fishpig && composer clear-cache && composer install –no-cache
Tingkatkan Ekstensi FishPig
rm -rf vendor/fishpig && composer clear-cache && composer update fishpig/* –no-cache
Hapus File Trojan
Jalankan perintah di bawah ini dan kemudian restart server Anda.
rm -rf /tmp/.varnish7684

Sansec menyarankan pelanggan untuk menonaktifkan sementara ekstensi Fishpig berbayar, menjalankan pemindai malware sisi server untuk mendeteksi malware yang diinstal atau aktivitas tidak sah, dan kemudian memulai ulang server untuk menghentikan proses latar belakang yang tidak sah.

Selengkapnya : Arstechnica

Peretas Mengeksploitasi Bug Confluence Atlassian untuk Menyebarkan Backdoor Ljl untuk Spionase

by

Seorang aktor ancaman mengeksploitasi kelemahan keamanan di server Atlassian Confluence yang sudah ketinggalan zaman untuk menyebarkan Backdoor yang belum pernah terlihat sebelumnya terhadap organisasi yang tidak disebutkan namanya di sektor penelitian dan layanan teknis.

Serangan itu, yang terjadi selama tujuh hari selama akhir Mei, telah dikaitkan dengan klaster aktivitas ancaman yang dilacak oleh perusahaan keamanan siber Deepwatch sebagai TAC-040.

Kerentanan Atlassian yang diduga telah dieksploitasi adalah CVE-2022-26134, cacat injeksi Object-Graph Navigation Language (OGNL) yang membuka jalan bagi eksekusi kode arbitrer pada Confluence Server atau contoh Data Center.

Menyusul laporan eksploitasi aktif dalam serangan dunia nyata, masalah ini ditangani oleh perusahaan Australia pada 4 Juni 2022.

Tetapi mengingat tidak adanya artefak forensik, Deepwatch berteori bahwa pelanggaran tersebut dapat menyebabkan eksploitasi kerentanan Spring4Shell (CVE-2022-22965) untuk mendapatkan akses awal ke aplikasi web Confluence.

Tidak banyak yang diketahui tentang TAC-040 selain fakta bahwa tujuan kolektif musuh mungkin terkait dengan spionase, meskipun kemungkinan bahwa kelompok tersebut dapat bertindak demi keuntungan finansial belum dikesampingkan, dengan alasan adanya pemuat untuk penambang kripto XMRig pada sistem.

Meskipun tidak ada bukti bahwa penambang dieksekusi dalam insiden ini, alamat Monero yang dimiliki oleh pelaku ancaman telah menjaring setidaknya 652 XMR ($106.000) dengan membajak sumber daya komputasi sistem lain untuk menambang cryptocurrency secara ilegal.

Rantai serangan juga terkenal karena penerapan implan yang sebelumnya tidak berdokumen yang disebut Ljl Backdoor di server yang disusupi. Kira-kira 700MB data yang diarsipkan diperkirakan telah dieksfiltrasi sebelum server diambil offline oleh korban, menurut analisis log jaringan.

Malware, pada bagiannya, adalah virus trojan berfitur lengkap yang dirancang untuk mengumpulkan file dan akun pengguna, memuat muatan .NET sewenang-wenang, dan mengumpulkan informasi sistem serta lokasi geografis korban.

Sumber: The Hacker News

Malware OrBit siluman baru mencuri data dari perangkat Linux

by

Malware Linux yang baru ditemukan digunakan untuk mencuri informasi secara diam-diam dari sistem Linux backdoor dan menginfeksi semua proses yang berjalan di mesin.

Dijuluki OrBit oleh peneliti keamanan Intezer Labs yang pertama kali melihatnya, malware ini membajak pustaka bersama untuk mencegat panggilan fungsi dengan memodifikasi variabel lingkungan LD_PRELOAD pada perangkat yang disusupi.

Meskipun dapat dua metode berbeda untuk memblokir upaya penghapusan, OrBit juga dapat digunakan sebagai implan yang mudah menguap saat disalin dalam memori-shim.

Itu juga dapat menghubungkan berbagai fungsi untuk menghindari deteksi, mengontrol perilaku proses, mempertahankan kegigihan dengan menginfeksi proses baru, dan menyembunyikan aktivitas jaringan yang akan mengungkapkan keberadaannya.

Misalnya, setelah menyuntikkan ke dalam proses yang berjalan, OrBit dapat memanipulasi outputnya untuk menyembunyikan jejak keberadaannya dengan menyaring apa yang dicatat.

Meskipun komponen dropper dan payload OrBit sama sekali tidak terdeteksi oleh mesin antivirus ketika malware pertama kali terlihat, beberapa vendor anti-malware sejak itu memperbarui produk mereka untuk memperingatkan pelanggan akan keberadaannya.

Payload OrBit tidak terdeteksi di VirusTotal (Intezer Labs)

OrBit bukan malware Linux pertama yang sangat mengelak yang muncul baru-baru ini, yang mampu menggunakan pendekatan serupa untuk sepenuhnya berkompromi dan perangkat backdoor.

Symbiote juga menggunakan direktif LD_PRELOAD untuk memuat dirinya sendiri ke dalam proses yang berjalan, bertindak sebagai parasit di seluruh sistem dan tidak meninggalkan tanda-tanda infeksi.

BPPFDoor, malware lain yang baru-baru ini terlihat menargetkan sistem Linux, menyamarkan dirinya dengan menggunakan nama-nama daemon Linux umum, yang membantunya tetap tidak terdeteksi selama lebih dari lima tahun.

Kedua jenis ini menggunakan fungsi pengait BPF (Berkeley Packet Filter) untuk memantau dan memanipulasi lalu lintas jaringan yang membantu menyembunyikan saluran komunikasi mereka dari alat keamanan.

Malware Linux ketiga, rootkit dalam pengembangan berat yang dijuluki Syslogk dan diluncurkan oleh peneliti Avast bulan lalu, dapat memuat modulnya sendiri secara paksa ke dalam kernel Linux, mesin backdoor yang disusupi, dan menyembunyikan direktori dan lalu lintas jaringan untuk menghindari deteksi.

Meskipun bukan jenis malware pertama atau paling orisinal yang menargetkan Linux akhir-akhir ini, OrBit masih hadir dengan bagian kemampuannya yang membedakannya dari ancaman lainnya.

Sumber: Bleeping Computer

Kaspersky Mengungkapkan Backdoor yang Menargetkan Banyak Organisasi di Seluruh Dunia

by

Kaspersky telah mengungkapkan “pintu belakang yang terdeteksi dengan buruk” yang disebut SessionManager yang telah digunakan terhadap organisasi di Afrika, Asia Selatan, Eropa, dan Timur Tengah setidaknya sejak Maret 2021.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” kata Kaspersky(Buka di jendela baru). “Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain, atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

SessionManager sendiri adalah modul untuk alat web server Internet Information Services(Opens in a new window) (IIS) dari Microsoft. Kaspersky mengatakan (Buka di jendela baru) pintu belakang adalah modul IIS yang mengawasi “permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya.” Semua itu kabarnya membuat SessionManager cukup sulit untuk dideteksi.

Kaspersky mencatat bahwa SessionManager tampaknya tidak melakukan sesuatu yang berbahaya—inti dari server web adalah untuk mengawasi permintaan HTTP. Siapa pun yang tidak mengharapkan server menerima permintaan tersebut mungkin tidak menjalankan IIS. (Setidaknya tidak dalam konfigurasi yang rentan terhadap serangan semacam itu.) Perusahaan mengatakan bahwa file SessionManager juga “sering ditempatkan di lokasi yang diabaikan yang berisi banyak file sah lainnya” untuk membuat deteksi menjadi lebih sulit.

“Secara keseluruhan, 34 server dari 24 organisasi dari Eropa, Timur Tengah, Asia Selatan, dan Afrika telah disusupi oleh SessionManager,” kata Kaspersky. “Aktor ancaman yang mengoperasikan SessionManager menunjukkan minat khusus pada LSM dan entitas pemerintah, tetapi organisasi medis, perusahaan minyak, perusahaan transportasi, antara lain, telah menjadi sasaran juga.”

Berbagai faktor, termasuk percobaan penggunaan malware yang disebut OwlProxy dan organisasi yang ditargetkan dengan pintu belakang SessionManager, telah membuat Kaspersky mengaitkan setidaknya beberapa aktivitas ini ke grup yang disebut Gelsemium. Lab52 telah menerbitkan laporan (Buka di jendela baru) di OwlProxy; ESET telah menerbitkan whitepaper(Buka di jendela baru) yang menjelaskan aktivitas Gelsemium sebelumnya. Kaspersky mencatat bahwa Gelsemium mungkin bukan satu-satunya grup yang menggunakan SessionManager, jadi atribusi ini tidak pasti.

Sumber: PCMag

Rootkit Syslogk Linux baru menggunakan paket ajaib untuk memicu Backdoor

by

Malware rootkit Linux baru bernama ‘Syslogk’ sedang digunakan dalam serangan untuk menyembunyikan proses berbahaya, menggunakan “paket ajaib” yang dibuat khusus untuk membangunkan pintu belakang yang tidak aktif di perangkat.

Malware tersebut saat ini sedang dalam pengembangan berat, dan pembuatnya tampaknya mendasarkan proyek mereka pada Adore-Ng, rootkit open-source lama.

Syslogk dapat memaksa memuat modulnya ke dalam kernel Linux (versi 3.x didukung), menyembunyikan direktori dan lalu lintas jaringan, dan akhirnya memuat pintu belakang yang disebut ‘Rekoobe.’

Rootkit Linux adalah malware yang diinstal sebagai modul kernel di sistem operasi. Setelah diinstal, mereka mencegat perintah Linux yang sah untuk menyaring informasi yang tidak ingin ditampilkan, seperti keberadaan file, folder, atau proses.

Demikian pula, ketika pertama kali dimuat sebagai modul kernel, Syslogk akan menghapus entrinya dari daftar modul yang diinstal untuk menghindari pemeriksaan manual. Satu-satunya tanda kehadirannya adalah antarmuka yang terbuka di sistem file /proc.

Antarmuka Syslogk yang terbuka (Avast)

Fungsi tambahan di rootkit memungkinkannya untuk menyembunyikan direktori yang berisi file berbahaya yang dijatuhkan di host, menyembunyikan proses, menyembunyikan lalu lintas jaringan, memeriksa semua paket TCP, dan memulai atau menghentikan muatan dari jarak jauh.

Salah satu muatan tersembunyi yang ditemukan oleh Avast adalah backdoor Linux bernama Rekoobe. Pintu belakang ini akan tertidur pada mesin yang disusupi sampai rootkit menerima “paket ajaib” dari pelaku ancaman.

Mirip dengan paket ajaib Wake on LAN, yang digunakan untuk membangunkan perangkat yang berada dalam mode tidur, Syslogk akan mendengarkan paket TCP yang dibuat khusus yang menyertakan nilai bidang “Reserved” khusus, penomoran “Port Sumber”, “Port Tujuan” dan “Alamat Sumber” cocok, dan kunci hardcoded.

Ketika paket ajaib yang tepat terdeteksi, Syslogks akan memulai atau menghentikan pintu belakang seperti yang diinstruksikan oleh aktor ancaman jarak jauh, secara drastis meminimalkan kemungkinan pendeteksiannya.

Pertimbangkan betapa tersembunyinya ini; pintu belakang yang tidak dimuat sampai beberapa paket ajaib dikirim ke mesin. Saat ditanya, tampaknya itu adalah layanan sah yang tersembunyi di memori, tersembunyi di disk, dijalankan secara ‘ajaib’ dari jarak jauh, tersembunyi di jaringan. Bahkan jika ditemukan selama pemindaian port jaringan, tampaknya masih merupakan server SMTP yang sah.” – Avast.

Rekoobe dimuat ke ruang mode pengguna di mana deteksi tidak serumit atau tidak mungkin seperti untuk Syslogk pada mode kernel, jadi lebih berhati-hati dengan pemuatannya sangat penting untuk keberhasilannya.

Rekoobe didasarkan pada TinySHell, perangkat lunak open-source lain dan tersedia secara luas, dan tujuannya adalah untuk memberikan penyerang cangkang jarak jauh pada mesin yang disusupi.

Memunculkan shell root pada host (Avast)

Ini berarti bahwa Rekoobe digunakan untuk menjalankan perintah, sehingga dampaknya mencapai tingkat tertinggi, termasuk pengungkapan informasi, eksfiltrasi data, tindakan file, pengambilalihan akun, dan banyak lagi.

Rootkit Syslogk adalah contoh lain dari malware yang sangat mengelak untuk sistem Linux yang ditambahkan di atas Symbiote dan BPFDoor yang baru ditemukan, yang keduanya menggunakan sistem BPF untuk memantau lalu lintas jaringan dan memanipulasinya secara dinamis.

Sistem Linux tidak lazim di kalangan pengguna biasa, tetapi mereka mendukung beberapa jaringan perusahaan paling berharga di luar sana, sehingga pelaku ancaman meluangkan waktu dan upaya untuk mengembangkan malware khusus untuk arsitektur.

Perkembangan yang paling berbahaya adalah Syslogk merilis versi yang mendukung versi kernel Linux yang lebih baru, yang akan sangat memperluas cakupan penargetan sekaligus.

Sumber: Bleeping Computer

Peretas Gallium keuangan backdoor, org pemerintah menggunakan malware PingPull baru

by

Kelompok peretasan yang disponsori negara Gallium telah terlihat menggunakan trojan akses jarak jauh ‘PingPull’ baru terhadap lembaga keuangan dan entitas pemerintah di Eropa, Asia Tenggara, dan Afrika.

Entitas ini berbasis di Australia, Rusia, Filipina, Belgia, Vietnam, Malaysia, Kamboja, dan Afghanistan.

Gallium diyakini berasal dari China, dan cakupan penargetannya di sektor telekomunikasi, keuangan, dan pemerintah dalam operasi spionase sejalan dengan kepentingan negara.

Dalam kampanye baru-baru ini, Gallium menggunakan RAT (trojan akses jarak jauh) baru bernama PingPull, yang menurut para analis di Unit42 (Palo Alto Networks) sangat tersembunyi.

Malware PingPull dirancang untuk memberi pelaku ancaman shell terbalik pada mesin yang disusupi, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh.

Unit42 dapat mengambil sampel tiga varian berbeda dengan fungsionalitas serupa yang menggunakan protokol komunikasi C2 yang berbeda, yaitu ICMP, HTTPS, dan TCP.

Protokol C2 yang berbeda mungkin untuk menghindari metode/alat deteksi jaringan tertentu, dengan aktor yang menyebarkan varian yang sesuai berdasarkan pengintaian awal.

Dalam ketiga kasus tersebut, malware menginstal dirinya sendiri sebagai layanan dan memiliki deskripsi yang mensimulasikan layanan yang sah, yang bertujuan untuk mencegah pengguna menghentikannya.

Perintah dan parameternya dikirim dari C2 dalam bentuk terenkripsi AES, yang dapat didekripsi oleh suar berkat sepasang kunci yang di-hardcode.

Infrastruktur yang dapat ditemukan dan ditautkan oleh Unit 42 ke operasi Gallium mencakup lebih dari 170 alamat IP, beberapa di antaranya berasal dari akhir tahun 2020.

Microsoft telah memperingatkan tentang grup tersebut pada tahun 2019, menyoroti cakupan penargetan yang terbatas pada penyedia layanan telekomunikasi pada saat itu.

Cuplikan kampanye Gallium baru-baru ini mengungkapkan RAT baru, yang menunjukkan bahwa kelompok peretasan masih merupakan ancaman yang aktif dan berkembang.

Berdasarkan laporan terbaru, Gallium telah memperluas cakupan tersebut untuk memasukkan entitas kunci pemerintah dan lembaga keuangan di Asia, Afrika, Eropa, dan Australia.

Untuk alasan ini, semua organisasi vital disarankan untuk menggunakan indikator kompromi yang disediakan dalam laporan Unit 42 untuk deteksi ancaman yang tepat waktu.

Sumber: Bleeping Computer

Hello XD ransomware sekarang menjatuhkan Backdoor saat mengenkripsi

by

Peneliti keamanan siber melaporkan peningkatan aktivitas ransomware Hello XD, yang operatornya sekarang menerapkan sampel yang ditingkatkan dengan enkripsi yang lebih kuat.

Pertama kali diamati pada November 2021, keluarga tertentu didasarkan pada kode sumber yang bocor dari Babuk dan terlibat dalam sejumlah kecil serangan pemerasan ganda di mana pelaku ancaman mencuri data perusahaan sebelum mengenkripsi perangkat.

Menurut sebuah laporan baru oleh Palo Alto Networks Unit 42, pembuat malware telah menciptakan sebuah encryptor baru yang menampilkan custom packing untuk menghindari deteksi dan perubahan algoritma enkripsi.

Ini menandai keberangkatan yang signifikan dari kode Babuk dan menyoroti niat penulis untuk mengembangkan jenis ransomware baru dengan kemampuan dan fitur unik untuk meningkatkan serangan.

Operasi ransomware Hello XD saat ini tidak menggunakan situs pembayaran Tor untuk memeras korban, melainkan menginstruksikan korban untuk memasuki negosiasi secara langsung melalui layanan obrolan TOX.

Dalam versi terbaru, operator malware telah menambahkan tautan situs bawang pada catatan tebusan yang dijatuhkan, tetapi Unit 42 mengatakan situs itu offline, jadi mungkin sedang dalam pembangunan.

Halo catatan tebusan XD, kiri lama, kanan baru (Unit 42)

Saat dijalankan, Hello XD mencoba menonaktifkan salinan bayangan untuk mencegah pemulihan sistem yang mudah dan kemudian mengenkripsi file, menambahkan ekstensi .hello ke nama file.

Selain muatan ransomware, Unit 42 juga mengamati operator Hello XD sekarang menggunakan pintu belakang sumber terbuka bernama MicroBackdoor untuk menavigasi sistem yang disusupi, mengekstrak file, menjalankan perintah, dan menghapus jejak.

Eksekusi MicroBackdoor ini dienkripsi menggunakan WinCrypt API dan disematkan di dalam muatan ransomware, sehingga langsung dijatuhkan ke sistem setelah terinfeksi.

Mendekripsi dan menjatuhkan Microbackdoor (Unit 42)

Pengemas kustom yang digunakan dalam versi kedua payload ransomware menampilkan dua lapisan kebingungan.

Penulis telah menurunkan crypter dengan memodifikasi UPX, sebuah paket open-source yang telah disalahgunakan oleh banyak pembuat malware di masa lalu.

Pengepakan UPX (kanan) dan pengemasan khusus (kiri) (Unit 42)

Dekripsi gumpalan yang disematkan melibatkan penggunaan algoritme khusus yang berisi instruksi tidak konvensional seperti XLAT, sementara panggilan API dalam pengepakan anehnya tidak dikaburkan.

Aspek paling menarik dari versi utama kedua Hello XD adalah mengganti algoritma enkripsi dari HC-128 dan Curve25519-Donna yang dimodifikasi ke Rabbit Cipher dan Curve25519-Donna.

Enkripsi babuk (kiri) dan enkripsi Hello XD 2.0 (kanan) (Unit 42)

Selain itu, penanda file di versi kedua diubah dari string yang koheren menjadi byte acak, membuat hasil kriptografi lebih kuat.

Saat ini, Hello XD adalah proyek ransomware tahap awal berbahaya yang saat ini digunakan di alam liar. Meskipun volume infeksinya belum signifikan, perkembangannya yang aktif dan terarah meletakkan dasar untuk status yang lebih berbahaya.

Unit 42 melacak asal-usulnya ke aktor ancaman berbahasa Rusia menggunakan alias X4KME, yang mengunggah tutorial tentang penggelaran Cobalt Strike Beacons dan infrastruktur berbahaya secara online.

Selain itu, peretas yang sama telah memposting di forum untuk menawarkan eksploitasi proof-of-concept (PoC), layanan crypter, distribusi Kali Linux khusus, dan layanan hosting dan distribusi malware.

Sumber: Bleeping Computer

Peretas China, “LuoYu”, Menggunakan Serangan Man-on-the-Side untuk Menyebarkan Backdoor WinDealer

by

Seorang aktor ancaman persisten (APT) canggih berbahasa China yang “sangat canggih” yang dijuluki LuoYu telah diamati menggunakan alat Windows berbahaya yang disebut WinDealer yang dikirimkan melalui serangan man-on-the-side.

“Pengembangan terobosan ini memungkinkan aktor untuk memodifikasi lalu lintas jaringan dalam perjalanan untuk memasukkan muatan berbahaya,” kata perusahaan keamanan siber Rusia Kaspersky dalam sebuah laporan baru. “Serangan seperti itu sangat berbahaya dan menghancurkan karena tidak memerlukan interaksi apa pun dengan target untuk mengarah pada infeksi yang berhasil.”

Dikenal aktif sejak 2008, organisasi yang ditargetkan oleh LuoYu sebagian besar adalah organisasi diplomatik asing yang didirikan di Tiongkok dan anggota komunitas akademik serta perusahaan keuangan, pertahanan, logistik, dan telekomunikasi.

Penggunaan WinDealer oleh LuoYu pertama kali didokumentasikan oleh perusahaan keamanan siber Taiwan TeamT5 pada Konferensi Analis Keamanan Jepang (JSAC) pada Januari 2021. Kampanye serangan berikutnya telah menggunakan malware untuk menargetkan entitas Jepang, dengan infeksi terisolasi dilaporkan di Austria, Jerman, India, Rusia, dan AS

Alat lain yang menonjol di gudang malware musuh yang kurang dikenal termasuk PlugX dan penerusnya ShadowPad, keduanya telah digunakan oleh berbagai pelaku ancaman China untuk mengaktifkan tujuan strategis mereka. Selain itu, aktor tersebut diketahui menargetkan perangkat Linux, macOS, dan Android.

WinDealer, pada bagiannya, telah dikirimkan di masa lalu melalui situs web yang bertindak sebagai lubang berair dan dalam bentuk aplikasi trojan yang menyamar sebagai pesan instan dan layanan hosting video seperti Tencent QQ dan Youku.

Selengkapnya: The Hacker News