Ara-Gen - Operator perangkat lunak jahat (malware) satu ini terkenal sering menargetkan perusahaan besar. Mereka mengoperasikan malware berjuluk “ShadowPad”.
Kalangan firma keamanan siber mengaitkan malware itu dengan geng peretas asal China, Winnti Group. Baru-baru ini, geng tersebut termasuk salah satu dari 10 peretas yang menargetkan kerentanan Microsoft Exchange Server, menurut temuan firma keamanan siber asal Slowakia, ESET.
ShadowPad merupakan malware pintu belakang (backdoor) yang memungkinkan penyerang mengunduh modul berbahaya lanjutan dan mencuri data, kata perusahaan keamanan siber asal Jepang, Trend Micro.
ShadowPad versi pertama dan kedua hingga ketiga (dalam analisis pada 2020), menurut perusahaan antivirus, Dr.Web, merupakan backdoor multi-modul yang ditulis dalam bahasa pemograman C dan Assembler.
Backdoor tersebut dirancang untuk berjalan pada sistem operasi Microsoft Windows 32-bit dan 64-bit. Dari catatan Dr.Web, pada versi keempat malware berubah menjadi trojan DLL yang berfungsi membawa muatan lain ke komputer korban yang terinfeksi.
Winnti Grup yang aktif sejak 2012 baru terdeteksi memakai ShadowPad pada 2017. Pada saat serangan pertama kalinya, ESET menemukan bahwa penyerang mendaftarkan domain untuk server perintah dan kontrolnya (C2) mulai Juli-Desember 2017.
Serangan pertama ShadowPad pada produk NetSarang, yakni pada versi yang dimodifikasinya, menurut perusahaan keamanan asal Rusia, Kaspersky.
NetSarang yang berkantor di Amerika Serikat dan Korea Selatan memproduksi perangkat lunak untuk mengelola jaringan, server, dan workstation administrasi sistem.
Tepatnya 17 Juli 2017, peretas membungkus ShadowPad ke file dynamic link-library (DLL) yang dihosting di situs web NetSarang. DLL merupakan jenis file yang berisi instruksi yang dapat dipanggil oleh program lain untuk melakukan hal-hal tertentu.
Kode berbahaya ShadowPad itu ditemukan pertama kali oleh sebuah lembaga keuangan yang mana menemukan adanya permintaan Domain Name Server (DNS) mencurigakan berasal dari sistem (yakni NetSarang) yang terlibat dalam pemrosesan transaksi keuangan.
Saat 2017 itu, ShadowPad tak hanya menyerang sektor keuangan, karena perangkat lunak NetSarang juga digunakan oleh berbagai industri yakni pendidikan, telekomunikasi, manufaktur, energi dan transportasi.
Pada serangan pertamanya, ShadowPad mengirim kueri DNS ke domain tertentu yakni server C2 peretas, setiap delapan jam sekali. Permintaan itu akan berisi informasi terkait sistem korban yakni nama pengguna, nama domain hingga nama host.
Malware tersebut mengirim informasi dasar perangkat korban untuk membuat profil korban. Dengan kata lain, ShadowPad merupakan infeksi tahap pertama dalam peretasan rantai pasokan (supply chain attack).
Jika peretas di balik ShadowPad merasa, bahwa korban adalah target yang menggiurkan, server C2-nya akan membalas dan mengaktifkan platform backdoor lengkap secara diam-diam, menyebarkan dirinya di dalam komputer korban. Setelah itu, barulah peretas mendistribusikan kode berbahaya atau malware lainnya sebagai infeksi lanjutan, tulis Kaspersky.
Menurut Positive Technologies, backdoor menyalin dirinya sendiri ke C:\ProgramData\ALGS\ dengan nama Algs.exe dan membuat layanan dengan nama yang sama.
Setelah bersembunyi dalam perangkat lunak NetSarang, ShadowPad bersembunyi melalui perangkat lunak pembersihan komputer yang sah, CCleaner, kata ESET.
Seperti dilaporkan oleh DarkReading pada 2018, ShadowPad ditemukan oleh perusahaan keamanan siber Avast dalam serangan ke perangkat utilitas Windows CCleaner untuk mencuri informasi dari korban yang terinfeksi.
"Dengan menginstal alat seperti ShadowPad, penjahat dunia maya dapat sepenuhnya mengontrol sistem dari jarak jauh sambil mengumpulkan kredensial dan wawasan tentang operasi di komputer yang ditargetkan. Selain alat keylogger, alat lain dipasang di empat komputer, termasuk pencuri kata sandi , dan alat dengan kapasitas untuk menginstal perangkat lunak dan plugin lebih lanjut di komputer target dari jarak jauh, " kata Avast.
Pada Oktober 2019, menurut perusahaan audit PwC dalam laporan Cyber Threats 2019, ShadowPad telah diperbarui dan digunakan untuk menargetkan produsen perangkat lunak dan perangkat keras seluler Asia.
Awal 2020, ESET kembali mengeluarkan laporan bahwa Winnti menggunakan ShadowPad untuk menargetkan dua universitas di Hong Kong. Malware ShadowPad terdeteksi oleh mesin pembelajaran ESET Augur di beberapa komputer universitas pada November 2019.
ShadowPad pada saat itu bersembunyi dalam perangkat lunak pencetakan dan pemindaian yang disebut "HP Digital Imaging", dengan DLL bernama hpqhvsei.dll, DLL sah yang dimuat oleh hpqhvind.exe dan akan berada di C:\Windows\Temp.
Pada 19 November 2020, Kementerian Tenaga Listrik India menyatakan bahwa telah menerima email dari Tim Tanggap Darurat Komputer India (CERT-In) tentang ancaman ShadowPad dibeberapa pusat kendali Power System Operation Corporation Limited (POSOCO).
Pusat Perlindungan Infrastruktur Informasi Kritis Nasional (NCIIPC) India pada 12 Februari 2021 memberi notifikasi kepada perusahaan distribusi energi di India terkait adanya ancaman ShadowPad yang dioperasionalkan oleh Red Echo, grup peretas yang disponsori negara Cina, berdasarkan temuan Recorded Future.
Peringataan itu menyatakan bahwa grup mencoba masuk ke sistem kontrol dan ditemukan bahwa IP Red Echo dan ShadowPad cocok. NCIIP pun memberikan daftar IP penyerang yang selanjutnya akan dimasukkan ke dalam daftar blokir firewall.
Pada 2021, Tim Tonto (grup APT) yang aktif sejak 2019 menargetkan pemerintah dan institusi yang sebagian besar di Rusia, Jepang dan Mongolia ditemukan memiliki akses ke ShadowPad.
Tim Tonto merupakan salah satu dari 10 grup APT yang menargetkan Microsoft Exchange Server, bersama grup Winnti yang telah lama juga memakai ShadowPad.
ESET mengatakan, tak hanya grup Winnti dan Tim Tonto saja yang memanfaatkan ShadowPad, tetapi ada grup Tick, KeyBoy, IceFog, dan TA428 yang juga menggunakan ShadowPad dalam aksinya.
ShadowPad ditemukan oleh ESET menyusup ke server email di perusahaan pengembang perangkat lunak berbasis di Asia Timur dan perusahaan real estate yag berbasis di Timur Tengah, tepatnya 3 Maret 2021.
Posting Komentar