Perusahaan Jepang Diserang dengan Malware Canggih dari Tiongkok

Perusahaan-perusahaan di Jepang kini menjadi sasaran serangan siber yang dilakukan oleh aktor negara asal Tiongkok. Mereka menggunakan malware canggih seperti LODEINFO dan NOOPDOOR untuk mencuri informasi sensitif dari sistem yang terinfeksi sambil tetap beroperasi dalam jangka waktu yang lama tanpa terdeteksi, kadang-kadang hingga dua hingga tiga tahun.

Kampanye malware ini, yang dilacak oleh perusahaan keamanan siber Israel Cybereason dengan nama Cuckoo Spear, dikaitkan dengan set intrusi yang dikenal sebagai APT10. Kelompok peretas ini juga dikenal dengan berbagai nama lain, termasuk Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon (sebelumnya dikenal sebagai Potassium), dan Stone Panda.

Menurut laporan Cybereason, para pelaku di balik malware NOOPDOOR tidak hanya menggunakan LODEINFO selama kampanye mereka, tetapi juga memanfaatkan backdoor terbaru untuk mengekstrak data dari jaringan perusahaan yang telah terkompromi. Temuan ini muncul beberapa minggu setelah JPCERT/CC memperingatkan mengenai serangan yang menargetkan entitas-entitas Jepang dengan kedua jenis malware tersebut.

Pada Januari lalu, ITOCHU Cyber & Intelligence melaporkan penemuan versi terbaru dari backdoor LODEINFO, yang kini dilengkapi dengan teknik anti-analisis canggih. Malware ini menyebar melalui email phishing yang sangat ditargetkan. Trend Micro, yang pertama kali menciptakan istilah MenuPass untuk menggambarkan aktor ancaman ini, mengidentifikasi APT10 sebagai kelompok besar yang terdiri dari dua klaster utama: Earth Tengshe dan Earth Kasha. Kelompok peretas ini telah beroperasi setidaknya sejak tahun 2006.

Earth Tengshe dikenal terkait dengan kampanye yang menggunakan malware seperti SigLoader dan SodaMaster. Sementara itu, Earth Kasha secara eksklusif menggunakan LODEINFO dan NOOPDOOR. Kedua sub-kelompok ini telah diketahui menargetkan aplikasi publik dengan tujuan untuk mengekstrak data dan informasi dari jaringan. Earth Tengshe juga memiliki hubungan dengan klaster lain yang dikenal sebagai Bronze Starlight (alias Emperor Dragonfly atau Storm-0401), yang memiliki sejarah menggunakan ransomware jangka pendek seperti LockFile, Atom Silo, Rook, Night Sky, Pandora, dan Cheerscrypt.

Sementara itu, Earth Kasha telah mulai mengubah metode akses awalnya dengan mengeksploitasi aplikasi yang dapat diakses publik sejak April 2023. Mereka memanfaatkan kerentanan yang belum diperbaiki pada berbagai aplikasi seperti Array AG (CVE-2023-28461), Fortinet (CVE-2023-27997), dan Proself (CVE-2023-45727) untuk menyebarkan malware LODEINFO dan NOOPDOOR (juga dikenal sebagai HiddenFace).

LODEINFO dilengkapi dengan berbagai perintah yang memungkinkan pelaku untuk menjalankan shellcode sembarangan, mencatat penekanan tombol, mengambil tangkapan layar, menghentikan proses, dan mengekstrak file ke server yang dikendalikan oleh aktor. Sementara itu, NOOPDOOR, yang memiliki kesamaan kode dengan backdoor APT10 lainnya yang dikenal sebagai ANEL Loader, memiliki kemampuan untuk mengunggah dan mengunduh file, mengeksekusi shellcode, dan menjalankan program tambahan.

Cybereason mencatat bahwa LODEINFO berfungsi sebagai backdoor utama dalam kampanye ini, sedangkan NOOPDOOR berperan sebagai backdoor sekunder yang menjaga persistensi dalam jaringan perusahaan yang terkompromi selama lebih dari dua tahun. "Para pelaku ancaman mempertahankan keberadaan mereka dalam lingkungan yang terinfeksi dengan memanfaatkan tugas terjadwal," ungkap Cybereason.

Perkembangan serangan ini menunjukkan tingkat kompleksitas dan kemajuan teknologi yang digunakan oleh kelompok peretas ini, menyoroti pentingnya langkah-langkah keamanan yang lebih ketat dan pengawasan yang lebih baik dalam melindungi jaringan dan informasi dari ancaman siber. Organisasi dan individu di seluruh dunia perlu tetap waspada terhadap teknik terbaru yang digunakan oleh aktor ancaman untuk memastikan perlindungan yang efektif terhadap data dan sistem mereka di era digital saat ini. Keberhasilan serangan ini menekankan perlunya pendekatan proaktif dalam keamanan siber untuk mencegah dan mengatasi ancaman yang semakin kompleks.