Peretas Cina Mengalihkan Aplikasi Obrolan MiMi untuk Menargetkan Pengguna Windows, Linux, macOS

  • Bagikan
MiMi Chat App

Beritaini.top Peretas Cina Mengalihkan Aplikasi Obrolan MiMi untuk Menargetkan Pengguna Windows, Linux, macOS

Aplikasi Obrolan MiMi

Sepasang laporan dari perusahaan keamanan siber SEKOIA dan Tren Mikro menyoroti kampanye baru yang dilakukan oleh aktor ancaman Tiongkok bernama tikus beruntung yang melibatkan pemanfaatan versi trojan dari aplikasi perpesanan lintas platform ke sistem pintu belakang.

Rantai infeksi memanfaatkan aplikasi obrolan yang disebut MiMi, dengan file penginstalnya dikompromikan untuk mengunduh dan menginstal sampel HyperBro untuk sistem operasi Windows dan artefak rshell untuk Linux dan macOS.

Sebanyak 13 entitas berbeda yang berlokasi di Taiwan dan Filipina telah menerima serangan, delapan di antaranya terkena rshell. Korban pertama rshell dilaporkan pada pertengahan Juli 2021.

Tikus Keberuntungan, juga disebut APT27Persatuan Perunggu, Utusan Panda, dan Harimau Besi, diketahui aktif sejak 2013 dan memiliki sejarah mendapatkan akses ke jaringan yang ditargetkan dalam mengejar tujuan pengumpulan intelijen politik dan militernya yang selaras dengan China.

Keamanan cyber

Aktor ancaman persisten tingkat lanjut (APT) juga mahir dalam menggali informasi bernilai tinggi menggunakan berbagai macam implan khusus seperti SysUpdate, HyperBrodan PlugX.

Perkembangan terbaru ini signifikan, paling tidak karena menandai upaya pengenalan aktor ancaman untuk menargetkan macOS bersama Windows dan Linux.

Aplikasi Obrolan MiMi

Kampanye ini memiliki semua keunggulan a serangan rantai pasokan di mana server backend yang menghosting penginstal aplikasi MiMi dikendalikan oleh Lucky Mouse, sehingga memungkinkan untuk men-tweak aplikasi untuk mengambil backdoors dari server jarak jauh.

Ini dibuktikan dengan fakta bahwa macOS versi 2.3.0 aplikasi telah dirusak untuk memasukkan kode JavaScript berbahaya pada 26 Mei 2022. Meskipun ini mungkin merupakan varian macOS pertama yang disusupi, versi 2.2.0 dan 2.2.1 dibuat untuk Windows telah ditemukan untuk memasukkan tambahan serupa pada 23 November 2021.

rshell, pada bagiannya, adalah pintu belakang standar yang dilengkapi dengan semua lonceng dan peluit biasa, memungkinkan eksekusi perintah arbitrer yang diterima dari server command-and-control (C2) dan mengirimkan hasil eksekusi kembali ke server.

Keamanan cyber

Tidak segera jelas apakah MiMi adalah program obrolan yang sah, atau apakah itu “dirancang atau digunakan kembali sebagai alat pengawasan,” meskipun aplikasi tersebut telah digunakan oleh aktor berbahasa China lainnya yang dijuluki Bumi Berberoka (alias GamblingPuppet) yang ditujukan untuk situs perjudian online – sekali lagi menunjukkan pembagian alat yang lazim di antara grup APT Tiongkok.

Koneksi operasi ke Lucky Mouse berasal dari tautan ke instruktur yang sebelumnya diidentifikasi seperti yang digunakan oleh perangkat intrusi China-nexus dan penyebaran HyperBro, pintu belakang yang secara eksklusif digunakan oleh kelompok peretas.

Seperti yang ditunjukkan SEKOIA, ini bukan pertama kalinya musuh menggunakan aplikasi perpesanan sebagai titik awal dalam serangannya. Pada akhir 2020, ESET mengungkapkan bahwa perangkat lunak obrolan populer bernama Able Desktop disalahgunakan untuk mengirimkan HyperBro, PlugX, dan trojan akses jarak jauh bernama Tmanger yang menargetkan Mongolia.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.