Aktor ancaman persisten canggih (APT) berbahasa China yang “sangat canggih” dijuluki LuoYu telah diamati menggunakan alat Windows berbahaya yang disebut WinDealer yang dikirimkan melalui serangan man-on-the-side.
“Pengembangan terobosan ini memungkinkan aktor untuk memodifikasi lalu lintas jaringan dalam perjalanan untuk memasukkan muatan berbahaya,” kata perusahaan keamanan siber Rusia Kaspersky dalam sebuah laporan baru. “Serangan semacam itu sangat berbahaya dan menghancurkan karena tidak memerlukan interaksi apa pun dengan target untuk mengarah pada infeksi yang berhasil.”
Dikenal aktif sejak 2008, organisasi yang ditargetkan oleh LuoYu sebagian besar adalah organisasi diplomatik asing yang didirikan di Tiongkok dan anggota komunitas akademik serta perusahaan keuangan, pertahanan, logistik, dan telekomunikasi.
Penggunaan WinDealer oleh LuoYu pertama kali didokumentasikan oleh perusahaan keamanan siber Taiwan TeamT5 pada Konferensi Analis Keamanan Jepang (JSAC) pada Januari 2021. Kampanye serangan berikutnya telah menggunakan malware untuk menargetkan entitas Jepang, dengan infeksi terisolasi dilaporkan di Austria, Jerman, India, Rusia, dan AS
Alat lain yang merupakan bagian dari gudang malware musuh termasuk PlugX dan penerusnya ShadowPad, yang keduanya telah digunakan oleh berbagai pelaku ancaman China untuk mengaktifkan tujuan strategis mereka. Selain itu, aktor tersebut diketahui menargetkan perangkat Linux, macOS, dan Android.
WinDealer, pada bagiannya, telah dikirimkan di masa lalu melalui situs web yang bertindak sebagai lubang berair dan dalam bentuk aplikasi trojan yang menyamar sebagai pesan instan dan layanan hosting video seperti Tencent QQ dan Youku.
Tetapi vektor infeksi sejak itu telah ditukar dengan metode distribusi lain yang memanfaatkan mekanisme pembaruan otomatis dari aplikasi sah terpilih untuk melayani versi yang dapat dikompromikan dari executable pada “kejadian langka.”
WinDealer, platform malware modular pada intinya, hadir dengan semua lonceng dan peluit biasa yang terkait dengan pintu belakang tradisional, memungkinkannya untuk menyaring informasi sensitif, menangkap tangkapan layar, dan menjalankan perintah sewenang-wenang.
Tetapi yang juga menonjol adalah penggunaan algoritme pembuatan IP yang kompleks untuk memilih server perintah-dan-kontrol (C2) untuk dihubungkan secara acak dari kumpulan 48.000 alamat IP.
“Satu-satunya cara untuk menjelaskan perilaku jaringan yang tampaknya mustahil ini adalah dengan mengasumsikan keberadaan penyerang man-on-the-side yang mampu mencegat semua lalu lintas jaringan dan bahkan memodifikasinya jika diperlukan,” kata perusahaan itu.
Serangan man-on-the-side, mirip dengan serangan man-in-the-middle, memungkinkan penyelundup jahat untuk membaca dan menyuntikkan pesan sewenang-wenang ke saluran komunikasi, tetapi tidak mengubah atau menghapus pesan yang dikirim oleh pihak lain.
Penyusupan semacam itu biasanya mengandalkan pengaturan waktu pesan yang strategis sehingga balasan berbahaya yang berisi data yang diberikan penyerang dikirim sebagai tanggapan atas permintaan korban untuk sumber daya web sebelum tanggapan sebenarnya dari server.
Fakta bahwa pelaku ancaman mampu mengontrol sejumlah besar alamat IP juga dapat menjelaskan pembajakan mekanisme pembaruan yang terkait dengan aplikasi asli untuk mengirimkan muatan WinDealer, Kaspersky menunjukkan.
“Serangan dari sisi manusia sangat merusak karena satu-satunya syarat yang diperlukan untuk menyerang perangkat adalah perangkat itu terhubung ke internet,” kata peneliti keamanan Suguru Ishimaru.
“Tidak peduli bagaimana serangan itu dilakukan, satu-satunya cara bagi calon korban untuk mempertahankan diri adalah tetap sangat waspada dan memiliki prosedur keamanan yang kuat, seperti pemindaian antivirus biasa, analisis lalu lintas jaringan keluar, dan pencatatan ekstensif untuk mendeteksi anomali. “