Kampanye spionase dunia maya Tiongkok telah menargetkan penyedia telekomunikasi dengan malware Linux dan Windows yang baru ditemukan, masing-masing diberi nama Showboat dan JFMBackdoor.
Operasi ini telah aktif setidaknya sejak pertengahan tahun 2022 dan menargetkan organisasi-organisasi di Asia Pasifik dan sebagian Timur Tengah. Hal ini dikaitkan dengan kelompok ancaman Calypso, yang juga dilacak sebagai Red Lamassu.
Menurut para peneliti di Lumen’s Black Lotus Labs dan PwC Threat Intelligence, pelaku ancaman menyiapkan dan menggunakan beberapa domain bertema telekomunikasi untuk meniru target mereka.
Malware Showboat Linux
Implan Linux yang digunakan Calypso dalam serangan ini, disebut Showboat/kworker, adalah kerangka kerja pasca-eksploitasi modular yang dibuat untuk ketahanan jangka panjang setelah kompromi awal. Vektor infeksi awal tidak diketahui.
Menurut laporan hari ini dari Black Lotus Labs, setelah Showboat diterapkan pada sistem target, ia mulai mengumpulkan informasi tentang host dan mengirimkannya ke server perintah dan kontrol (C2).
Malware juga dapat mengunggah atau mengunduh file, menyembunyikan prosesnya sendiri, dan membangun persistensi melalui layanan baru.
“Salah satu fitur penting adalah perintah ‘sembunyikan’, yang memungkinkan suatu proses untuk menyembunyikan dirinya pada mesin host dengan mengambil kode yang disimpan di situs web eksternal seperti Pastebin atau forum online untuk digunakan sebagai ‘dead drop’, peneliti Lumen’s Black Lotus Labs menjelaskan.
Sumber: Lumen
Fungsinya yang paling menonjol adalah bertindak sebagai proxy SOCKS5 dan titik pivot penerusan port, yang berfungsi sebagai pijakan pada titik akhir yang disusupi dan memungkinkan penyerang berpindah ke sistem lain di jaringan internal.
Sumber: Lumen
Malware Windows JMFBackdoor
Para peneliti di PwC Threat Intelligence menganalisis rantai infeksi Red Lamassu di Windows dan mencatat bahwa hal itu dimulai dengan eksekusi skrip batch yang menjatuhkan muatan untuk melakukan prosedur sideload DLL (fltMC.exe + FLTLIB.dll). Pada akhirnya, muatan terakhir yang disebut JMFBackdoor dimuat.
Sumber: PwC
Menurut para peneliti, JFMBackdoor adalah implan spionase Windows berfitur lengkap yang memiliki kemampuan berikut:
- Akses shell terbalik — Eksekusi perintah jarak jauh pada mesin yang terinfeksi.
- Manajemen file — Unggah, unduh, ubah, pindahkan, dan hapus file.
- proksi TCP — Menggunakan sistem korban sebagai relay jaringan ke sistem internal.
- Manajemen proses/layanan — Memulai, menghentikan, membuat, atau mematikan proses dan layanan.
- Manipulasi registri — Ubah kunci dan nilai registri Windows.
- Tangkapan layar — Ambil tangkapan layar desktop korban dan enkripsi untuk eksfiltrasi.
- Manajemen konfigurasi terenkripsi — Simpan/perbarui pengaturan malware dalam konfigurasi terenkripsi.
- Penghapusan diri dan anti-forensik — Sembunyikan aktivitas, hapus persistensi, dan hapus jejak.
Analisis infrastruktur menunjukkan bahwa para peretas mengikuti model operasional yang terdesentralisasi sebagian, di mana beberapa klaster berbagi pola dan alat pembuatan sertifikat yang serupa, namun menargetkan kelompok korban yang berbeda.
Lumen menyimpulkan bahwa alat ini kemungkinan digunakan oleh beberapa kelompok ancaman yang bersekutu dengan Tiongkok, masing-masing menargetkan wilayah berbeda dan menggunakan ekosistem malware yang sama.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
