SMS Bomber

Tropic Trooper telah terlihat menggunakan malware yang sebelumnya tidak terdokumentasi yang dikodekan dalam bahasa Nim untuk menyerang target sebagai bagian dari kampanye yang baru ditemukan.

Muatan baru, dijuluki Nimbda, “dibundel dengan alat ‘SMS Bomber’ greyware berbahasa China yang kemungkinan besar didistribusikan secara ilegal di web berbahasa China,” kata perusahaan keamanan siber Israel Check Point dalam sebuah laporan.

SMS Bomber, seperti namanya, memungkinkan pengguna untuk memasukkan nomor telepon (bukan milik mereka sendiri) untuk membanjiri perangkat korban dengan pesan dan berpotensi membuatnya tidak dapat digunakan dalam serangan denial-of-service (DoS).

Fakta bahwa biner berfungsi ganda sebagai Pengebom SMS dan pintu belakang menunjukkan bahwa serangan tidak hanya ditujukan pada mereka yang merupakan pengguna alat, tetapi juga sangat ditargetkan di alam liar.

Tropic Trooper, juga dikenal dengan sebutan Earth Centaur, KeyBoy, dan Pirate Panda, memiliki rekam jejak menyerang target yang berlokasi di Taiwan, Hong Kong, dan Filipina, terutama berfokus pada pemerintah, perawatan kesehatan, transportasi, dan industri teknologi tinggi.

Trend Micro tahun lalu menunjukkan kemampuan grup untuk mengembangkan TTP agar tetap berada di bawah radar dan mengandalkan berbagai alat khusus untuk mengkompromikan targetnya.

Biner yang diambil adalah versi upgrade dari trojan bernama Yahoyah yang dirancang untuk mengumpulkan informasi tentang jaringan nirkabel lokal di sekitar mesin korban serta metadata sistem lainnya dan mengekstrak detailnya kembali ke server command-and-control (C2).

Yahoyah juga bertindak sebagai saluran untuk mengambil malware tahap akhir, yang diunduh dalam bentuk gambar dari server C2. Payload yang dikodekan secara steganografi adalah pintu belakang yang dikenal sebagai TClient dan telah digunakan oleh grup dalam kampanye sebelumnya

“Biasanya, ketika alat pihak ketiga jinak (atau tampak jinak) dipilih sendiri untuk dimasukkan ke dalam rantai infeksi, mereka dipilih untuk menjadi yang paling tidak mencolok; pilihan alat ‘SMS Bomber’ untuk tujuan ini adalah meresahkan, dan menceritakan keseluruhan cerita saat seseorang berani memperkirakan motif dan korban yang dituju.”

Sumber: The Hacker News

Peneliti keamanan siber telah menemukan kampanye baru yang dikaitkan dengan kelompok peretasan “Tropic Trooper” China, yang menggunakan pemuat baru bernama Nimbda dan varian baru trojan Yahoyah.

Trojan dibundel dalam alat greyware bernama ‘SMS Bomber,’ yang digunakan untuk serangan penolakan layanan (DoS) terhadap ponsel, membanjiri mereka dengan pesan. Alat seperti ini biasanya digunakan oleh pelaku ancaman “pemula” yang ingin melancarkan serangan terhadap situs.

Menurut sebuah laporan oleh Check Point, pelaku ancaman juga menunjukkan pengetahuan kriptografi yang mendalam, memperluas spesifikasi AES dalam implementasi khusus.

Infeksi dimulai dengan mengunduh versi berbahaya dari SMS Bomber, yang berisi fungsi biner dan standar alat. Namun, unduhan telah dimodifikasi untuk menyertakan kode tambahan yang dimasukkan ke dalam proses notepad.exe.

Eksekusi yang diunduh sebenarnya adalah pemuat ‘Nimbda’, yang menggunakan ikon SMS Bomber, dan berisi SMS Bomber sebagai executable yang disematkan.

Di latar belakang, loader menyuntikkan shellcode ke dalam proses notepad untuk mencapai repositori GitHub, mengambil executable yang dikaburkan, mendekodekannya, dan kemudian menjalankannya melalui proses lekukan di ‘dllhost.exe.’

Payload ini adalah varian Yahoyah baru, yang mengumpulkan data tentang host dan mengirimkannya ke server C2.

Payload terakhir, dijatuhkan oleh executable Yahoyah, dikodekan dalam gambar JPG menggunakan steganografi. Check Point mengidentifikasinya sebagai ‘TClient’, Trooper Tropic pintu belakang yang digunakan dalam kampanye sebelumnya.

Enkripsi yang digunakan untuk membungkus Yahoyah adalah implementasi kustom dari AES, yang melakukan urutan terbalik dari operasi putaran dua kali; maka Check Point menamakannya AEES.

Ini tidak membuat enkripsi menjadi lebih kuat tetapi membuat analisis sampel menjadi sangat sulit, membuat para peneliti yang tidak memiliki tekad yang kuat atau membuat pekerjaan mereka jauh lebih membosankan.

Tropic Trooper adalah aktor ancaman canggih yang berfokus pada spionase, yang sebelumnya terlihat menjalankan kampanye phishing terhadap pejabat Rusia.

Trojanizing ‘SMS Bomb’ menunjukkan tepat, penargetan sempit, sehingga kemungkinan keputusan berdasarkan intelijen yang dikumpulkan selama spionase sebelumnya.

Meskipun cakupan penargetan yang tepat tidak diketahui, kampanye ini menunjukkan kemampuan Tropic Trooper untuk membuat umpan apa pun yang diperlukan untuk operasi, pengetahuan kriptografi, dan aktivitas pengembangan malware mereka.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Peretas Tiongkok Mendistribusikan Alat Pengebom SMS dengan Malware Tersembunyi Di Dalam

Peretas Cina menargetkan skrip kiddies dengan trojan pencuri info

SMS Bomber

Cookies Settings