Seorang aktor ancaman terkait China telah menggunakan Trojan baru dalam serangan ditujukan pada individu dan organisasi yang berada atau memiliki hubungan dengan Jepang, Palo Alto Networks melaporkan
Kelompok ini dikenal sebagai menuPass, Stone Panda dan APT10, dan telah aktif sejak setidaknya 2009. Aktor awalnya menargetkan pertahanan kontraktor di Amerika Serikat dan di tempat lain, dan karena 2014 itu juga telah menyerang organisasi di Jepang.
menuPass dikenal untuk menggunakan PlugX dan poisonivy, yang telah diamati dalam kampanye yang diluncurkan oleh beberapa aktor. Namun, operasi baru-baru menuPass ini, yang berlangsung antara September dan November 2016, melibatkan Trojan baru, yg dijuluki ChChes, yang unik untuk kelompok ini.
Operasi baru-baru ini menargetkan akademisi Jepang yang bekerja di berbagai bidang ilmiah, sebuah perusahaan farmasi Jepang, dan anak perusahaan yang berbasis di AS dari perusahaan manufaktur Jepang. Serangan dimulai dengan email phishing yang berasal dari alamat palsu, termasuk dari Peace Foundation Sasakawa dan Gedung Putih.
Satu petunjuk yang terkait ChChes untuk alat-alat lain yang digunakan oleh menuPass adalah hash impor. Namun, para ahli juga menemukan koneksi dalam infrastruktur yang digunakan dalam serangan baru-baru ini.
ChChes menyamar sebagai dokumen Word dan menandatangani menggunakan sertifikat dari pembuat Italia spyware Hacking Team. Sertifikat itu bocor ketika perusahaan diretas pada bulan Juli 2015, tapi itu telah dicabut jauh sebelum serangan menuPass terbaru ini. Peneliti percaya penyerang mungkin telah menggunakannya dalam upaya untuk membuat atribusi yg lebih sulit.
Selain mengumpulkan informasi tentang sistem yang terinfeksi, ChChes memiliki modul yang membantu mengenkripsi komunikasi, menjalankan perintah shell, upload dan download file, dan mengeksekusi DLL, menurut sebuah analisis yang dilakukan oleh Computer Emergency Response Team Pusat Koordinasi Jepang (JPCERT / CC).
Palo Alto Networks percaya ChChes hanya digunakan untuk men-download malware lain ke komputer yang terinfeksi, terutama karena tidak memiliki mekanisme.
"Dalam intrusi sukses, mungkin hanya sebuah alat tahap pertama digunakan oleh penyerang untuk mengarahkan di mana mereka melakukan serangan pada jaringan, dan malware lainnya akan dikerahkan sebagai tahap kedua layering untuk ketekunan dan akses tambahan sebagai penyerang bergerak lateral melalui jaringan, "kata peneliti dalam sebuah posting blog.
Sumber : securityweek
0komentar:
Post a Comment