Studi peretas China berayun sebagai umpan phishing

Penyerang menggunakan versi palsu dari laporan yang baru-baru ini dirilis tentang kelompok cyber-pionase Tiongkok sebagai umpan dalam serangan tombak-phishing baru yang menargetkan pengguna Jepang dan China.

Laporannya dirilis pada hari Selasa oleh perusahaan keamanan Mandiant dan dokumen dengan sangat rinci kampanye cyberespionage yang dilakukan sejak 2006 oleh kelompok peretas yang dikenal sebagai Kru Komentar terhadap lebih dari 100 perusahaan dan organisasi dari berbagai industri.

Mandiant merujuk pada grup sebagai APT1 (Advanced Persistent Ancaman 1) dan klaim dalam laporan bahwa kemungkinan itu adalah unit penjelajah rahasia yang berbasis di Shanghai dari Tentara Tiongkok - Tentara Pembebasan Rakyat (PLA) yang diberi kode "Unit 61398."

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Pemerintah Cina telah menolak klaim Mandiant sebagai tidak berdasar. Namun, laporan tersebut menerima banyak perhatian dari orang-orang di industri keamanan TI, serta dari masyarakat umum.

Tampaknya publisitas ini sekarang telah menyebabkan penyerang memutuskan untuk menggunakan laporan sebagai umpan dalam serangan baru yang ditargetkan.

Malware menyamar sebagai laporan Mandiant

Dua serangan spike-phishing yang berbeda ditemukan minggu lalu menggunakan email dengan lampiran berbahaya yang menyamar sebagai laporan Mandiant, kata Aviv Raff, kepala petugas teknologi dari perusahaan keamanan Seculert.

Satu menyerang pengguna yang ditargetkan berbahasa Jepang dan melibatkan email dengan lampiran bernama Mandiant.pdf. File PDF ini mengeksploitasi kerentanan dalam Adobe Reader yang ditambal oleh Adobe dalam pembaruan darurat pada hari Rabu, peneliti keamanan dari Seculert mengatakan dalam posting blog.

Malware yang dipasang oleh exploit terhubung ke server perintah-dan-kontrol yang dihosting di Korea, tetapi juga menghubungi beberapa situs web Jepang, mungkin dalam upaya untuk mengelabui produk keamanan, kata para peneliti Seculert.

Symantec juga mendeteksi dan menganalisis serangan tombak-phishing. "Email itu mengaku berasal dari seseorang di media yang merekomendasikan laporan itu," kata peneliti Symantec, Joji Hamada dalam sebuah posting blog. Namun, akan jelas bagi orang Jepang bahwa email itu tidak ditulis oleh seorang penutur asli bahasa Jepang, katanya.

Hamada menunjukkan bahwa taktik yang sama telah digunakan di masa lalu. Dalam satu insiden pada tahun 2011, peretas menggunakan makalah penelitian tentang serangan yang ditargetkan yang diterbitkan oleh Symantec sebagai umpan. "Mereka melakukan ini dengan mengirim spam target dengan whitepaper yang sebenarnya bersama dengan malware yang tersembunyi dalam lampiran arsip," kata Hamada.

Memanfaatkan cacat Adobe lama

Serangan spear-phishing kedua mendeteksi target pengguna berbahasa China dan menggunakan malware lampiran yang disebut "Mandiant_APT2_Report.pdf."

Menurut analisis file PDF oleh peneliti Brandon Dixon dari firma konsultasi keamanan 9b +, dokumen ini mengeksploitasi kerentanan Adobe Reader yang lebih tua yang ditemukan dan ditambal pada 2011.

Malware diinstal pada sistem membuat koneksi ke domain yang saat ini menunjuk ke server di Cina, Dixon mengatakan melalui email. "Malware ini menyediakan penyerang dengan kemampuan untuk menjalankan perintah pada sistem korban."

Nama domain yang dihubungi oleh malware ini juga digunakan di masa lalu dalam serangan yang ditujukan pada aktivis Tibet, kata Seculert's Raff. Serangan yang lebih tua itu menginstall malware Windows dan Mac OS X.

Greg Walton, seorang peneliti dari MalwareLab, sebuah organisasi keamanan yang melacak serangan malware bermotif politik, mengatakan di Twitter bahwa serangan spear-phishing yang bertemakan Mandiant menyasar para jurnalis. di China. Informasi ini tidak dapat dikonfirmasi oleh Raff atau Dixon, yang mengatakan bahwa mereka tidak memiliki salinan email spam asli, hanya dari lampiran jahat yang dikandungnya.