Peretas APT Menargetkan Sistem Kontrol Industri dengan ShadowPad Backdoor

Industrial Control Systems

Entitas yang berlokasi di Afghanistan, Malaysia, dan Pakistan berada di garis bidik kampanye serangan yang menargetkan Server Microsoft Exchange yang belum ditambal sebagai vektor akses awal untuk menyebarkan malware ShadowPad.

Perusahaan keamanan siber Rusia Kaspersky, yang pertama kali mendeteksi aktivitas tersebut pada pertengahan Oktober 2021, mengaitkannya dengan aktor ancaman berbahasa China yang sebelumnya tidak dikenal. Target termasuk organisasi di sektor telekomunikasi, manufaktur, dan transportasi.

“Selama serangan awal, kelompok itu mengeksploitasi kerentanan MS Exchange untuk menyebarkan malware ShadowPad dan menyusup ke sistem otomasi bangunan salah satu korban,” kata perusahaan itu. “Dengan mengambil kendali atas sistem tersebut, penyerang dapat menjangkau sistem lain yang bahkan lebih sensitif dari organisasi yang diserang.”

ShadowPad, yang muncul pada tahun 2015 sebagai penerus PlugX, adalah platform malware modular yang dijual secara pribadi yang telah digunakan oleh banyak aktor spionase China selama bertahun-tahun.

Sementara desainnya memungkinkan pengguna untuk menyebarkan plugin tambahan dari jarak jauh yang dapat memperluas fungsinya di luar pengumpulan data rahasia, apa yang membuat ShadowPad berbahaya adalah teknik anti-forensik dan anti-analisis yang dimasukkan ke dalam malware.

“Selama serangan dari aktor yang diamati, pintu belakang ShadowPad diunduh ke komputer yang diserang dengan kedok perangkat lunak yang sah,” kata Kaspersky. “Dalam banyak kasus, kelompok penyerang mengeksploitasi kerentanan yang diketahui di MS Exchange, dan memasukkan perintah secara manual, menunjukkan sifat kampanye mereka yang sangat ditargetkan.”

Keamanan cyber

Bukti menunjukkan bahwa intrusi yang dipasang oleh musuh dimulai pada Maret 2021, tepat pada saat kerentanan ProxyLogon di Exchange Server menjadi pengetahuan publik. Beberapa target dikatakan telah dilanggar dengan mengeksploitasi CVE-2021-26855, kerentanan server-side request forgery (SSRF) di server email.

Related Post :   Europol Menghancurkan Geng Phishing yang Bertanggung Jawab atas Jutaan Kerugian

Selain menyebarkan ShadowPad sebagai “mscoree.dll,” komponen asli Microsoft .NET Framework, serangan tersebut juga melibatkan penggunaan Cobalt Strike, varian PlugX yang disebut THOR, dan shell web untuk akses jarak jauh.

Meskipun tujuan akhir dari kampanye tersebut masih belum diketahui, para penyerang diyakini tertarik pada pengumpulan intelijen jangka panjang.

“Membangun sistem otomasi adalah target langka bagi pelaku ancaman tingkat lanjut,” kata peneliti Kaspersky ICS CERT, Kirill Kruglov. “Namun, sistem tersebut dapat menjadi sumber informasi yang sangat rahasia dan dapat memberikan penyerang pintu belakang ke area infrastruktur lain yang lebih aman.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.