Sebuah cluster ancaman dengan ikatan dengan kelompok peretasan yang disebut Trooper Tropic telah terlihat menggunakan malware yang sebelumnya tidak berdokumen yang dikodekan dalam bahasa Nim untuk menyerang target sebagai bagian dari kampanye yang baru ditemukan.
Pemuat baru, dijuluki Nimbda, “dibundel dengan alat ‘SMS Bomber’ greyware berbahasa China yang kemungkinan besar didistribusikan secara ilegal di web berbahasa China,” kata perusahaan keamanan siber Israel Check Point dalam sebuah laporan.
“Siapa pun yang membuat pemuat Nim sangat berhati-hati untuk memberikan ikon yang dapat dieksekusi yang sama dengan Pembom SMS yang dijatuhkan dan dijalankan,” kata para peneliti. “Oleh karena itu seluruh bundel bekerja sebagai biner trojan.”
SMS Bomber, seperti namanya, memungkinkan pengguna untuk memasukkan nomor telepon (bukan milik mereka sendiri) untuk membanjiri perangkat korban dengan pesan dan berpotensi membuatnya tidak dapat digunakan dalam serangan denial-of-service (DoS).
Fakta bahwa biner berfungsi ganda sebagai Pengebom SMS dan pintu belakang menunjukkan bahwa serangan tidak hanya ditujukan pada mereka yang merupakan pengguna alat — “target yang agak tidak lazim” — tetapi juga sangat ditargetkan secara alami.
Tropic Trooper, juga dikenal dengan sebutan Earth Centaur, KeyBoy, dan Pirate Panda, memiliki rekam jejak menyerang target yang berlokasi di Taiwan, Hong Kong, dan Filipina, terutama berfokus pada pemerintah, perawatan kesehatan, transportasi, dan industri teknologi tinggi.
Menyebut kolektif berbahasa Cina “sangat canggih dan dilengkapi dengan baik,” Trend Micro tahun lalu menunjukkan kemampuan grup untuk mengembangkan TTP mereka agar tetap berada di bawah radar dan mengandalkan berbagai alat khusus untuk mengkompromikan targetnya.
Rantai serangan terbaru yang didokumentasikan oleh Check Point dimulai dengan alat Pembom SMS yang diubah, pemuat Nimbda, yang meluncurkan executable tertanam, dalam hal ini muatan pembom SMS yang sah, sementara juga menyuntikkan bagian terpisah dari shellcode ke dalam proses notepad.exe .
Ini memulai proses infeksi tiga tingkat yang memerlukan pengunduhan biner tahap berikutnya dari alamat IP yang dikaburkan yang ditentukan dalam file penurunan harga (“EULA.md”) yang dihosting di repositori GitHub atau Gitee yang dikendalikan penyerang.
Biner yang diambil adalah versi upgrade dari trojan bernama Yahoyah yang dirancang untuk mengumpulkan informasi tentang jaringan nirkabel lokal di sekitar mesin korban serta metadata sistem lainnya dan mengekstrak detailnya kembali ke server command-and-control (C2).
Yahoyah juga bertindak sebagai saluran untuk mengambil malware tahap akhir, yang diunduh dalam bentuk gambar dari server C2. Payload yang dikodekan secara steganografi adalah pintu belakang yang dikenal sebagai TClient dan telah digunakan oleh grup dalam kampanye sebelumnya.
“Kluster aktivitas yang diamati melukiskan gambaran aktor yang fokus dan ditentukan dengan tujuan yang jelas dalam pikiran,” para peneliti menyimpulkan.
“Biasanya, ketika alat pihak ketiga jinak (atau tampak jinak) dipilih sendiri untuk dimasukkan ke dalam rantai infeksi, mereka dipilih untuk menjadi yang paling tidak mencolok; pilihan alat ‘SMS Bomber’ untuk tujuan ini adalah meresahkan, dan menceritakan keseluruhan cerita saat seseorang berani memperkirakan motif dan korban yang dituju.”