global research and analysis team (great) dari kaspersky lab menemukan adanya sebuah kelompok hacker, yang kemungkinan beroperasi dari india, melsayakan aktivitas spionase cyber serangan di kawimpiann asia.
mereka menargetkan beberapa entitas diplomatik dan pemerintahan, khususnya berfokus pada tiongkok serta segala urusan internasional yang berkaitan dengan negara tersebut. kelompok ini hanya berbekal eksploitasi usang dan peralatan yang tidak begitu canggih sebagai persenjataan mereka.
mereka menargetkan beberapa entitas diplomatik dan pemerintahan, khususnya berfokus pada tiongkok serta segala urusan internasional yang berkaitan dengan negara tersebut. kelompok ini hanya berbekal eksploitasi usang dan peralatan yang tidak begitu canggih sebagai persenjataan mereka.
mereka juga diketahui mencoba untuk melsayakan serangan kepada para target berprofil penting di negara-negara barat. modus operandi kelompok hacker dropping elephant (juga dikenal sebagai chinastrats) ini hampir tidak mampu dikatakan canggih.
para penyerang sangat bergantung pada social engineering serta peralatan dan eksploitasi malware berbudget rendah. namun, cara ini tampaknya cukup efektif, sesampai membuat kelompok hacker ini menjadi salah satu yang berbahaya.
tidak hanya itu, dalam beberapa bulan pertama, operasi mereka beryang akan terjadi mencuri dokumen dari setidaknya beberapa lusin korban yang telah mereka targetkan sebelumnya.
untuk profiling target tahap awal, dropping elephant mengirimkan email massal ke sejumlah alamat email yang telah mereka kumpulkan berdimpianrkan relevansi target terhadap tujuan mereka.
email spear-phishing yang dikirim berisi referensi ke konten yang dikontrol dari jauh--tidak terlampir dalam email itu sendiri--tapi diunduh dari sumber eksternal. email tidak memiliki payload berbahaya, kecuali permintaan "ping" yang dikirimkan ke server penyerang, dibuka oleh target.
hal ini secara otomatis mengirimkan pesan yang berisi beberapa berita dimpianr perihal penerima, mirip alamat ip, jenis browser, dan perangkat yang digunakan serta lokasinya.
setelah menggunakan metode sederhana ini untuk menyaring target yang paling berharga, hacker kemudian melanjutkan ke langkah selanjutnya, yaitu email spear-phishing yang dikhususkan.
cara ini menggunakan dokumen word dengan exploit cve-2012-015 atau slpandangan baru powerpoint dengan exploit untuk kerentanan cve-2014-6352 pada microsoft office. keduanya ialah exploit yang umum dan telah dikenal untuk waktu yang lama, tapi masih efektif.
beberapa korban yang menjadi target mendapat serangan watering hole, di mana mereka mendapatkan link ke website yang menyamar sebagai portal gosip politik, berfokus pada urusan eksternal china. mayoritas link di website ini mengarah pada konten tambahan dalam bentuk pps (powerpoint slpandangan baru) dengan payload berbahaya di dalamnya.
meskipun kerentanan yang digunakan dalam serangan itu telah ditambal oleh microsoft, para penyerang masih mampu mengandalkan trik social engineering untuk meretas target mereka.
apalagi kalau mereka mengabaikan beberapa peringatan keamanan yang ditampilkan dan setuju untuk mengaktifkan fitur berbahaya dalam dokumen.
adapun konten dari pps berbahaya tersebut berisi artikel gosip asli yang dipilih dengan cermat, menampilkan topik geopolitik yang banyak dibahas, sesampai membuat dokumen terlihat dapat diandalkan dan cenderung untuk dibuka. hal ini menyebabkan banyak target menjadi terinfeksi.
setelah sukses mengeksploitasi kerentanan, kemudian banyak sekali alat berbahaya diinstal pada mesin korban. peralatan ini kemudian mengumpulkan dan mengirim penyerang jenis data: dokumen word, spreadsheet excel, presentasi powerpoint, file pdf, kredensial login yang disimpan di browser.
selain serangan social engineering dan eksploitasi, salah satu backdoors dropping elephant menggunakan metode komunikasi c & c yang mereka pinjam dari pelsaya ancaman lainnya. mereka menyemsuarakan lokasi sebenarnya dari server c & c dengan cara menunjukkan komentar pada artikel di situs web publik yang sah.
teknik ini sebelumnya telah membisuati, meskipun dengan eksekusi yang jauh lebih kompleks, dalam operasi yang dilsayakan oleh miniduke dan pelsaya ancaman lainnya. hal ini dilsayakan dalam rangka untuk membuat penyelidikan terhadap serangan menjadi lebih rumit
Berkomentarlah yang sopan dan relevan
EmoticonEmoticon