Peretas LuoYu China Menggunakan Serangan Man-on-the-Side untuk Menyebarkan Backdoor WinDealer

  • Bagikan
WinDealer Backdoor

Beritaini.top Peretas LuoYu China Menggunakan Serangan Man-on-the-Side untuk Menyebarkan Backdoor WinDealer

Pintu Belakang WinDealer

Aktor ancaman persisten canggih (APT) berbahasa China yang “sangat canggih” dijuluki LuoYu telah diamati menggunakan alat Windows berbahaya yang disebut WinDealer yang dikirimkan melalui serangan man-on-the-side.

“Pengembangan terobosan ini memungkinkan aktor untuk memodifikasi lalu lintas jaringan dalam perjalanan untuk memasukkan muatan berbahaya,” perusahaan keamanan siber Rusia Kaspersky dikatakan dalam laporan baru. “Serangan seperti itu sangat berbahaya dan menghancurkan karena tidak memerlukan interaksi apa pun dengan target untuk mengarah pada infeksi yang berhasil.”

Dikenal aktif sejak 2008, organisasi yang ditargetkan oleh LuoYu sebagian besar adalah organisasi diplomatik asing yang didirikan di Tiongkok dan anggota komunitas akademik serta perusahaan keuangan, pertahanan, logistik, dan telekomunikasi.

Keamanan cyber

Penggunaan LuoYu dari WinDealer pertama kali didokumentasikan oleh perusahaan keamanan siber Taiwan TimT5 di Japan Security Analyst Conference (JSAC) pada Januari 2021. Selanjutnya kampanye serangan telah menggunakan malware untuk menargetkan entitas Jepang, dengan infeksi terisolasi dilaporkan di Austria, Jerman, India, Rusia, dan AS

Alat lain yang menonjol dalam gudang malware musuh yang kurang dikenal termasuk PlugX dan penerusnya ShadowPad, keduanya telah digunakan oleh berbagai pelaku ancaman China untuk mengaktifkan tujuan strategis mereka. Selain itu, aktor tersebut diketahui menargetkan perangkat Linux, macOS, dan Android.

WinDealer, pada bagiannya, telah dikirimkan di masa lalu melalui situs web yang bertindak sebagai lubang air dan dalam bentuk aplikasi trojan yang menyamar sebagai pesan instan dan layanan hosting video seperti Tencent QQ dan Youku.

1654371248 981 Peretas LuoYu China Menggunakan Serangan Man on the Side untuk Menyebarkan Backdoor WinDealer

Tetapi vektor infeksi sejak itu telah ditukar dengan metode distribusi lain yang memanfaatkan mekanisme pembaruan otomatis dari aplikasi sah terpilih untuk melayani versi yang dapat dikompromikan dari executable pada “kejadian langka.”

WinDealer, platform malware modular pada intinya, hadir dengan semua lonceng dan peluit biasa yang terkait dengan pintu belakang tradisional, memungkinkannya untuk menyaring informasi sensitif, menangkap tangkapan layar, dan menjalankan perintah sewenang-wenang.

Tetapi yang juga menonjol adalah penggunaan algoritme pembuatan IP yang kompleks untuk memilih server perintah-dan-kontrol (C2) untuk dihubungkan secara acak dari kumpulan 48.000 alamat IP.

“Satu-satunya cara untuk menjelaskan perilaku jaringan yang tampaknya mustahil ini adalah dengan mengasumsikan keberadaan penyerang man-on-the-side yang mampu mencegat semua lalu lintas jaringan dan bahkan memodifikasinya jika diperlukan,” kata perusahaan itu.

Keamanan cyber

SEBUAH pria di samping serangan, mirip dengan serangan man-in-the-middle, memungkinkan penyelundup nakal untuk membaca dan menyuntikkan pesan sewenang-wenang ke dalam saluran komunikasi, tetapi tidak mengubah atau menghapus pesan yang dikirim oleh pihak lain.

Penyusupan semacam itu biasanya mengandalkan pengaturan waktu pesan yang strategis sehingga balasan berbahaya yang berisi data yang diberikan penyerang dikirim sebagai tanggapan atas permintaan korban untuk sumber daya web sebelum tanggapan sebenarnya dari server.

Fakta bahwa pelaku ancaman mampu mengontrol sejumlah besar alamat IP juga dapat menjelaskan pembajakan mekanisme pembaruan yang terkait dengan aplikasi asli untuk mengirimkan muatan WinDealer, Kaspersky menunjukkan.

“Serangan dari sisi manusia sangat merusak karena satu-satunya syarat yang diperlukan untuk menyerang perangkat adalah perangkat itu terhubung ke internet,” kata peneliti keamanan Suguru Ishimaru.

“Tidak peduli bagaimana serangan itu dilakukan, satu-satunya cara bagi calon korban untuk mempertahankan diri adalah tetap sangat waspada dan memiliki prosedur keamanan yang kuat, seperti pemindaian antivirus biasa, analisis lalu lintas jaringan keluar, dan pencatatan ekstensif untuk mendeteksi anomali. “

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.