Sebuah kelompok hacker dunia maya China terkait menggunakan malware baru dan beberapa teknik baru dalam serangan mereka ditargetkan pada organisasi militer dan kedirgantaraan di Rusia dan Belarus.
Kembali pada bulan Juli 2016, perusahaan keamanan Proofpoint melaporkan bahwa aktor ancaman telah menggunakan RAT PlugX dan NetTraveler untuk menargetkan Rusia dan negara-negara tetangga. Para peneliti sekarang menunjukkan bahwa, pada sekitar waktu yang sama, kelompok ini mulai menggunakan downloader baru, dijuluki sebagai ZeroT, dan Microsoft Compiled HTML Help file untuk memberikan PlugX.
Para penyerang telah mengirim korban beberapa file chm yang berisi file HTM dan juga dieksekusi. Ketika file bantuan ini dibuka, teks berbahasa Rusia ditampilkan dan korban diminta oleh User Account Control (UAC) fitur di Windows untuk memungkinkan akses untuk menjalankan sebuah "program yang tidak diketahui." Jika pengguna memilih "Ya," ZeroT downloader kemudian dijatuhkan ke sistem mereka.
Mirip dengan serangan sebelumnya, aktor APT juga telah digunakan khusus dibuat dokumen Word yang dibuat dengan memanfaatkan pembangkit disebut MNKit. Kantor ini mengeksploitasi Generator telah memungkinkan para peneliti untuk mengetahui hubungan antara kelompok yang berbeda diyakini beroperasi keluar dari Cina.
Setelah menginfeksi sebuah sistem, kontak perintah ZeroT dan kontrol server (C & C), dan upload informasi tentang sistem yang terinfeksi. ZeroT kemudian varian download yg sebelumnya dikenal dari PlugX RAT, baik secara langsung sebagai payload non-dikodekan PE atau sebagai file gambar Bitmap (.bmp) yang menggunakan steganografi untuk menyembunyikan malware.
0komentar:
Post a Comment