PlugX

ShadowPad Malware Attacks, menurut peneliti keamanan siber, memiliki hubungan dengan kementerian China dan PLA. Pintu belakang yang canggih dan modular ini telah diadopsi oleh banyak kelompok ancaman China baru-baru ini dan memiliki hubungan dengan badan intelijen sipil dan militer negara itu.

Peneliti Secureworks mengatakan, “ShadowPad didekripsi dalam memori menggunakan algoritma dekripsi khusus. ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas fungsionalitas.”

Platform malware modular ini memiliki kesamaan yang mencolok dengan malware PlugX. Plugx digunakan dalam serangan profil tinggi terhadap NetSarang, CCleaner, dan ASUS. Pelaku ancaman tidak mengubah taktik dan memperbarui tindakan defensif mereka.

Kampanye ShadowPad sebelumnya dikaitkan dengan kluster ancaman yang dilacak sebagai Atlas Perunggu alias Barium. Mereka adalah warga negara Tiongkok yang bekerja untuk perusahaan keamanan jaringan bernama Chengdu 404.

SentinelOne mengatakan ShadowPad adalah “karya malware yang dijual secara pribadi dalam spionase China.” Seperti PwC dalam analisis Desember 2021 mengungkapkan mekanisme pengemasan yang dipesan lebih dahulu bernama ScatterBee yang digunakan untuk mengaburkan muatan 32-bit dan 64-bit berbahaya untuk binari ShadowPad.

Muatan malware disebarkan ke host baik dengan mengenkripsinya dengan pemuat DLL atau menyematkannya di dalam file terpisah bersama dengan pemuat DLL. Kemudian ia mendekripsi dan mengeksekusi muatan ShadowPad yang tertanam di memori menggunakan algoritme dekripsi khusus yang disesuaikan dengan versi malware.

Malware dijalankan oleh pemuat DLL ini setelah mereka dipindahkan oleh executable sah yang rentan terhadap pembajakan perintah pencarian DLL. Ini adalah teknik yang digunakan untuk mengeksekusi malware dengan membajak metode yang digunakan untuk mencari DLL yang diperlukan untuk dimuat ke dalam program.

Secureworks juga mengamati rantai infeksi tertentu yang menyertakan file ketiga, yang berisi payload ShadowPad terenkripsi. Ini membantu untuk mengeksekusi biner yang sah (misalnya, BDReinit.exe atau Oleview.exe) untuk melakukan sideload DLL yang, pada gilirannya, memuat dan mendekripsi file ketiga.

Pelaku ancaman juga menempatkan file DLL di direktori Windows System32. Ini memungkinkannya untuk dimuat oleh Layanan Konfigurasi Desktop Jarak Jauh (SessionEnv), yang mengarah ke penyebaran Cobalt Strike pada sistem yang disusupi.

ShadowPad dalam insiden tertentu membuka jalan untuk meluncurkan serangan hands-on-keyboard. Dalam jenis serangan seperti itu, peretas secara manual masuk ke sistem yang terinfeksi untuk menjalankan perintah sendiri daripada menggunakan skrip otomatis.

Sumber: TechnoidHost

Aktor TA416 Advanced Persistent Threat (APT) telah kembali. Setelah sebulan tidak aktif, grup tersebut terlihat meluncurkan serangan spear-phishing dengan varian Golang yang belum pernah dilihat sebelumnya dari malware loader PlugX-nya.

TA416, yang juga dikenal sebagai “Mustang Panda” dan “RedDelta”, terlihat dalam kampanye baru-baru ini yang menargetkan entitas yang terkait dengan hubungan diplomatik antara Vatikan dan Partai Komunis China, serta entitas di Myanmar (semua ini adalah kampanye yang dilaporkan sebelumnya).

Dalam analisis lebih lanjut dari serangan ini, para peneliti menemukan grup tersebut telah memperbarui perangkatnya – khususnya, memberikan varian malware PlugX facelift. Remote access tool (RAT) PlugX sebelumnya telah digunakan dalam serangan yang ditujukan pada lembaga pemerintah dan memungkinkan pengguna jarak jauh untuk melakukan pencurian data atau mengendalikan sistem yang terpengaruh tanpa izin atau otorisasi. Itu dapat menyalin, memindahkan, mengganti nama, mengeksekusi dan menghapus file; log penekanan tombol; sidik jari sistem yang terinfeksi; dan lainnya.

Setelah penyelidikan lebih dekat, peneliti mengidentifikasi dua arsip RAR yang berfungsi sebagai dropper malware PlugX.

Para peneliti mengatakan, vektor pengiriman awal untuk arsip RAR ini tidak dapat diidentifikasi, “namun, secara historis TA416 telah diamati menggunakan URL Google Drive dan Dropbox dalam email phishing yang mengirimkan arsip yang berisi malware PlugX dan komponen terkait,” kata mereka.

Malware Loader ini diidentifikasi sebagai Golang binary; Peneliti mengatakan mereka sebelumnya tidak mengamati jenis file ini digunakan oleh TA416. Meskipun jenis file dari loader PlugX berubah, fungsinya sebagian besar tetap sama, kata para peneliti.

Sumber: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Serangan Malware ShadowPad Menunjukkan Tautan dengan Kementerian China dan PLA

TA416 APT Kembali Dengan Varian Baru PlugX Malware

PlugX

Cookies Settings