ShadowPad

Grup peretasan China yang sebelumnya tidak dikenal yang dikenal sebagai ‘Space Pirates’ menargetkan perusahaan di industri kedirgantaraan Rusia dengan email phishing untuk menginstal malware baru di sistem mereka.

Kelompok ancaman diyakini telah mulai beroperasi pada tahun 2017, dan meskipun memiliki tautan ke kelompok-kelompok yang dikenal seperti APT41 (Winnti), Mustang Panda, dan APT27, itu dianggap sebagai kelompok baru aktivitas jahat.

Analis ancaman Rusia di Positive Technologies menamai kelompok itu “Space Pirates” karena operasi spionase mereka yang berfokus pada mencuri informasi rahasia dari perusahaan di bidang kedirgantaraan.

Grup Space Pirates APT terlihat menargetkan lembaga pemerintah dan perusahaan yang terlibat dalam layanan TI, kedirgantaraan, dan industri tenaga listrik yang berlokasi di Rusia, Georgia, dan Mongolia.

Analis ancaman pertama kali menemukan tanda-tanda aktivitas Space Pirates musim panas lalu selama respons insiden dan dengan cepat mengonfirmasi bahwa pelaku ancaman menggunakan malware dan infrastruktur yang sama terhadap setidaknya empat entitas domestik lagi sejak 2019.

Dua dari kasus ini menyangkut perusahaan Rusia dengan partisipasi negara, yang berhasil dikompromikan oleh peretas.

Dalam kasus pertama, pelaku ancaman mempertahankan akses mereka ke 20 server selama sepuluh bulan, mencuri lebih dari 1.500 dokumen, detail karyawan, dan data sensitif lainnya.

Dalam kasus kedua, peretas China tetap berada di jaringan perusahaan yang disusupi selama lebih dari setahun, menyedot informasi rahasia dan memasang malware mereka ke 12 node jaringan perusahaan di tiga wilayah berbeda.

Gudang Bajak Laut Luar Angkasa terdiri dari pemuat khusus yang bersembunyi di balik dokumen umpan, pintu belakang yang sedikit dimodifikasi yang telah ada selama bertahun-tahun, malware merek dagang Cina PlugX, dan putaran khusus pintu belakang PcShare.

Selain itu, serangan Space Pirates juga menggunakan ShadowPad, Zupdax, PoisonIvy, dan ReVBShell dalam serangan.

Selain di atas, APT yang baru ditemukan menggunakan tiga alat malware modular yang sebelumnya tidak terdokumentasi, yaitu Deed RAT, BH_A006, dan MyKLoadClient.

Alat kustom lain yang menarik adalah Deed RAT, yang menampilkan metode yang tidak biasa dan cerdas untuk mentransfer kontrol ke shellcode.

Fungsi Deed RAT bergantung pada plugin mana yang diambil dan dimuat. Misalnya, PT telah melihat delapan plugin untuk startup, konfigurasi C2, instalasi, injeksi kode ke dalam proses, interaksi jaringan, manajemen koneksi, pengeditan registri, pemantauan registri, dan sniffing proxy.

Protokol yang didukung untuk komunikasi C2 termasuk TCP, TLS, HTTP, HTTPS, UDP, dan DNS, jadi umumnya ada tingkat keserbagunaan yang tinggi.

Perintah-perintah yang didukung oleh Deed RAT adalah sebagai berikut:

Kumpulkan informasi sistem
Buat saluran komunikasi terpisah untuk plugin
Hapus sendiri

Selengkapnya

Analis ancaman percaya bahwa tumpang tindih antara berbagai APT China disebabkan oleh pertukaran alat, fenomena umum bagi peretas di wilayah tersebut.

Menggunakan alat bersama semakin mengaburkan jejak kelompok ancaman yang berbeda dan membuat pekerjaan analis jauh lebih sulit, sehingga APT China memiliki banyak alasan untuk mengikuti praktik ini.

Space Pirates juga terlihat menyebarkan malware khusus mereka di beberapa perusahaan China untuk keuntungan finansial, sehingga kelompok ancaman mungkin memiliki fungsi ganda.

Spionase adalah operasi standar untuk APT China, dan Rusia adalah target valid yang unggul di bidang kedirgantaraan, senjata, teknik listrik, pembuatan kapal, dan teknologi nuklir.

Sumber:Bleeping Computer

ShadowPad Malware Attacks, menurut peneliti keamanan siber, memiliki hubungan dengan kementerian China dan PLA. Pintu belakang yang canggih dan modular ini telah diadopsi oleh banyak kelompok ancaman China baru-baru ini dan memiliki hubungan dengan badan intelijen sipil dan militer negara itu.

Peneliti Secureworks mengatakan, “ShadowPad didekripsi dalam memori menggunakan algoritma dekripsi khusus. ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas fungsionalitas.”

Platform malware modular ini memiliki kesamaan yang mencolok dengan malware PlugX. Plugx digunakan dalam serangan profil tinggi terhadap NetSarang, CCleaner, dan ASUS. Pelaku ancaman tidak mengubah taktik dan memperbarui tindakan defensif mereka.

Kampanye ShadowPad sebelumnya dikaitkan dengan kluster ancaman yang dilacak sebagai Atlas Perunggu alias Barium. Mereka adalah warga negara Tiongkok yang bekerja untuk perusahaan keamanan jaringan bernama Chengdu 404.

SentinelOne mengatakan ShadowPad adalah “karya malware yang dijual secara pribadi dalam spionase China.” Seperti PwC dalam analisis Desember 2021 mengungkapkan mekanisme pengemasan yang dipesan lebih dahulu bernama ScatterBee yang digunakan untuk mengaburkan muatan 32-bit dan 64-bit berbahaya untuk binari ShadowPad.

Muatan malware disebarkan ke host baik dengan mengenkripsinya dengan pemuat DLL atau menyematkannya di dalam file terpisah bersama dengan pemuat DLL. Kemudian ia mendekripsi dan mengeksekusi muatan ShadowPad yang tertanam di memori menggunakan algoritme dekripsi khusus yang disesuaikan dengan versi malware.

Malware dijalankan oleh pemuat DLL ini setelah mereka dipindahkan oleh executable sah yang rentan terhadap pembajakan perintah pencarian DLL. Ini adalah teknik yang digunakan untuk mengeksekusi malware dengan membajak metode yang digunakan untuk mencari DLL yang diperlukan untuk dimuat ke dalam program.

Secureworks juga mengamati rantai infeksi tertentu yang menyertakan file ketiga, yang berisi payload ShadowPad terenkripsi. Ini membantu untuk mengeksekusi biner yang sah (misalnya, BDReinit.exe atau Oleview.exe) untuk melakukan sideload DLL yang, pada gilirannya, memuat dan mendekripsi file ketiga.

Pelaku ancaman juga menempatkan file DLL di direktori Windows System32. Ini memungkinkannya untuk dimuat oleh Layanan Konfigurasi Desktop Jarak Jauh (SessionEnv), yang mengarah ke penyebaran Cobalt Strike pada sistem yang disusupi.

ShadowPad dalam insiden tertentu membuka jalan untuk meluncurkan serangan hands-on-keyboard. Dalam jenis serangan seperti itu, peretas secara manual masuk ke sistem yang terinfeksi untuk menjalankan perintah sendiri daripada menggunakan skrip otomatis.

Sumber: TechnoidHost

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

‘Space Pirates’ China meretas perusahaan kedirgantaraan Rusia

Serangan Malware ShadowPad Menunjukkan Tautan dengan Kementerian China dan PLA

ShadowPad

Cookies Settings