Kaspersky ICS CERT menemukan kampanye baru yang menargetkan organisasi industri di kawasan Asia-Pasifik.
Para penyerang disebut menggunakan layanan cloud yang sah untuk mengelola malware dan menggunakan skema pengiriman malware multi-tahap yang rumit menggunakan perangkat lunak sah untuk menghindari deteksi. Akibatnya, mereka dapat menyebarkan malware melalui jaringan organisasi korban, memasang alat administrasi jarak jauh, memanipulasi perangkat, mencuri dan menghapus informasi rahasia.
Kampanye tersebut menargetkan lembaga pemerintah dan organisasi industri di beberapa negara dan wilayah di kawasan Asia Pasifik, termasuk Taiwan, Malaysia, Tiongkok, Jepang, Thailand, Hong Kong, Korea Selatan, Singapura, Filipina, dan Vietnam. Arsip zip dengan malware, yang disamarkan sebagai dokumen terkait pajak, dikirimkan kepada korban dalam sebuah kampanye phishing melalui email dan messenger (WeChat dan Telegram). Sebagai hasil dari prosedur instalasi malware multi-tahap yang rumit, sebuah backdoor, FatalRAT, dipasang ke dalam sistem.
Meskipun ada kemiripan dengan alur kerja yang diamati dalam kampanye sebelumnya yang dioperasikan oleh aktor ancaman menggunakan Trojan akses jarak jauh (RAT) sumber terbuka seperti Gh0st RAT, SimayRAT, Zegost, dan FatalRAT, kampanye ini menunjukkan perubahan penting dalam taktik, teknik, dan prosedur yang khusus disesuaikan untuk target berbahasa Mandarin.
Serangan tersebut dilakukan menggunakan jaringan pengiriman konten cloud (CDN) myqcloud milik Tiongkok yang sah dan layanan Youdao Cloud Notes. Para penyerang menggunakan berbagai metode untuk menghindari deteksi dan pemblokiran: mengubah server kontrol dan muatan berbahaya secara dinamis, menempatkan file pada sumber daya web yang sah, mengeksploitasi kerentanan dalam aplikasi sah, dan menggunakan kemampuan perangkat lunak sah untuk meluncurkan malware, mengemas dan mengenkripsi file hingga lalu lintas jaringan.
Kaspersky menyebut kampanye serangan ini sebagai SalmonSlalom: para penyerang menantang pertahanan siber seperti ikan salmon yang mengarungi air terjun saat berenang ke hulu, kehilangan kekuatan saat bermanuver di antara bebatuan tajam.
“Kami berulang kali melihat pelaku ancaman menggunakan kombinasi metode dan teknik serangan yang relatif sederhana namun berhasil menjangkau target mereka bahkan dalam perimeter OT. Kampanye khusus ini berfungsi sebagai peringatan bagi berbagai organisasi industri di kawasan Asia Pasifik, mengingatkan mereka tentang pelaku ancaman yang menunjukkan kemampuan untuk mendapatkan akses jarak jauh ke sistem teknologi operasional. “Menyadari adanya potensi ancaman tersebut memungkinkan organisasi-organisasi ini untuk meningkatkan langkah-langkah keamanan mereka dan secara proaktif merespons untuk melindungi aset dan data dari pelaku kejahatan siber yang semakin canggih,” komentar Evgeny Goncharov, Kepala Kaspersky ICS CERT.
Meskipun tidak dikaitkan dengan kelompok mana pun, penggunaan layanan dan antarmuka berbahasa Mandarin secara konsisten, dikombinasikan dengan bukti teknis lainnya, menunjukkan kemungkinan keterlibatan pelaku ancaman berbahasa Mandarin.
