Trojan akses jarak jauh memungkinkan penyerang untuk merebut komunikasi diplomatik dan intelijen yang sensitif.
ngarahNyaho - Para peneliti di salah satu tim intelijen ancaman komersial terbesar di dunia, Cisco Talos, mengungkap operasi spionase dunia maya canggih yang menargetkan kalangan diplomatik global.
Kelompok yang dijuluki “SneakyChef” ini diketahui menargetkan kementerian luar negeri dan kedutaan besar di Afrika dan Eropa.
Modus operandi mereka melibatkan penerapan “SugarGh0st,” versi khusus dari Gh0st RAT— malware yang telah ada selama lebih dari 15 tahun.
Trojan akses jarak jauh ini memberikan penyerang akses yang belum pernah terjadi sebelumnya ke sistem korban, memungkinkan mereka untuk mengambil komunikasi diplomatik dan intelijen yang sensitif.
Gh0st RAT telah menjadi alat pilihan populer untuk serangan cyber yang disponsori negara.
Meskipun peneliti Cisco Talos menemukan aktivitas SugarGh0st pada awal Agustus 2023 saat mengamati target di Korea Selatan dan Uzbekistan, operasinya telah diperluas.
Taktik yang menipu
SneakyChef memanfaatkan dokumen, terutama file pindaian yang tampak biasa pada pandangan pertama, untuk mengirimkan muatan berbahayanya.
Selain itu, kelompok ini juga terlihat menggunakan formulir pendaftaran konferensi palsu dan abstrak makalah penelitian sebagai vektor serangan.
“Sebagian besar dokumen umpan yang kami temukan dalam kampanye ini adalah dokumen pindaian lembaga pemerintah, yang tampaknya tidak tersedia di internet,” kata Cisco Talos dalam sebuah postingan blog.
Di antara dokumen-dokumen tersebut adalah formulir permohonan paspor India, daftar peristiwa yang melibatkan interaksi antara presiden AS dan perdana menteri India, dan surat edaran yang meniru Kedutaan Besar Lituania.
Malware SugarGh0st sendiri merupakan evolusi dari kerangka kerja Gh0st RAT.
Para peneliti menyoroti bahwa malware tersebut memberi peretas kemampuan pengintaian yang ditingkatkan, termasuk kemampuan untuk mencari kunci dan ekstensi file tertentu.
Selain itu, malware yang berevolusi memberi peretas kemampuan eksfiltrasi data yang lebih bertarget sekaligus menghindari tindakan keamanan konvensional.
Setelah menemukan jalannya ke mesin korban, SugarGh0st mengumpulkan rincian tentang mesin tersebut, termasuk nama host, struktur sistem file, dan informasi sistem operasi.
Hebatnya, malware ini bahkan dapat menangkap tangkapan layar dan bernavigasi di antara beberapa jendela.
Asal usul malware
Mengutip Interesting Engineering, Cisco Talos mengaitkan operasi SneakyChef dengan China dengan “keyakinan sedang.” Namun, sifat dunia spionase siber yang suram membuat hal ini sulit untuk dipastikan.
Penggunaan Gh0st RAT, sebuah alat yang disukai oleh pelaku ancaman berbahasa Mandarin, dan pilihan bahasa mereka memberikan petunjuk yang kuat.
Namun demikian, operasi penandaan palsu atau pembagian alat antar kelompok yang berbeda masih mungkin dilakukan.
Hal yang juga patut dipertanyakan adalah penargetan entitas diplomatik di wilayah geografis yang begitu luas:
- Apa motivasi di balik serangan ini?
- Apakah para penyerang bermaksud mendapatkan informasi intelijen strategis mengenai keputusan kebijakan luar negeri?
- Atau apakah mereka bagian dari kampanye yang lebih besar untuk menyebarkan perselisihan di antara mitra internasional?
Selain itu, para peneliti di Proofpoint baru-baru ini mendeteksi SugarGh0st digunakan untuk menyerang organisasi AS yang terlibat dalam pengembangan kecerdasan buatan.
Temuan ini menimbulkan spekulasi bahwa ambisi jahat SneakyChef mungkin melampaui spionase diplomatik tradisional.
Tim Cisco Talos juga menemukan ancaman lain, SpiceRAT, selama penyelidikan mereka. [Sumber: Interesting Engineering]
Posting Komentar