Setidaknya dua lembaga penelitian yang berlokasi di Rusia dan kemungkinan target ketiga di Belarusia telah menerima serangan spionase oleh negara-bangsa China, Advanced Persistent Threat (APT).
Serangan, dengan nama sandi “Panda Bengkok,” datang di latar belakang invasi militer Rusia ke Ukraina, mendorong berbagai aktor ancaman untuk dengan cepat menyesuaikan kampanye mereka pada konflik yang sedang berlangsung untuk mendistribusikan malware dan melakukan serangan oportunistik.
Mereka telah terwujud dalam bentuk skema rekayasa sosial dengan perang topikal dan umpan bertema sanksi yang dirancang untuk mengelabui calon korban agar mengklik tautan jahat atau membuka dokumen yang dipersenjatai.
Perusahaan keamanan siber Israel, Check Point, yang mengungkapkan rincian operasi pengumpulan intelijen terbaru, mengaitkannya dengan aktor ancaman China, dengan koneksi ke Stone Panda (alias APT 10, Cicada, atau Potassium) dan Mustang Panda (alias Bronze President, HoneyMyte). , atau RedDelta).
Menyebutnya sebagai kelanjutan dari “operasi spionase jangka panjang terhadap entitas terkait Rusia yang telah beroperasi setidaknya sejak Juni 2021,” jejak terbaru dari aktivitas tersebut dikatakan telah diamati baru-baru ini pada April 2022.
Target termasuk dua lembaga penelitian pertahanan milik konglomerat pertahanan milik negara Rusia Rostec Corporation dan entitas tak dikenal yang terletak di kota Minsk, Belarusia.
Serangan phishing dimulai dengan email yang berisi tautan yang menyamar sebagai Kementerian Kesehatan Rusia, tetapi kenyataannya adalah domain yang dikendalikan penyerang, serta dokumen Microsoft Word umpan yang dirancang untuk memicu infeksi dan menjatuhkan loader.
DLL 32-bit (“cmpbk32.dll”), selain menetapkan kegigihan melalui tugas terjadwal, juga bertanggung jawab untuk mengeksekusi pemuat berlapis-lapis tahap kedua, yang kemudian dibongkar untuk menjalankan muatan akhir dalam memori.
Payload yang disuntikkan, pintu belakang yang sebelumnya tidak terdokumentasi bernama Spinner, menggunakan teknik canggih seperti perataan aliran kontrol untuk menyembunyikan aliran program, yang sebelumnya diidentifikasi digunakan oleh Stone Panda dan Mustang Panda dalam serangan mereka.
“Alat-alat ini sedang dikembangkan setidaknya sejak Maret 2021 dan menggunakan teknik penghindaran dan anti-analisis tingkat lanjut seperti pemuat dalam memori multi-lapisan dan kebingungan tingkat kompiler,” kata Check Point.
Terlepas dari struktur kodenya yang kompleks, Spinner adalah implan barebone yang hanya dilengkapi untuk menghitung host yang disusupi dan menjalankan muatan tambahan yang diambil dari server jarak jauh.
Check Point mencatat bahwa penyelidikannya juga mengungkapkan varian sebelumnya dari pintu belakang yang didistribusikan dengan cara yang sama, menunjukkan bahwa kampanye telah aktif sejak Juni 2021 berdasarkan stempel waktu kompilasi dari executable.
Namun dalam twist yang menarik, sementara versi yang lebih lama tidak menggabungkan metode rekayasa anti-terbalik, itu menebusnya dengan fitur tambahan yang hilang dari Spinner, termasuk kemampuan untuk membuat daftar dan memanipulasi file, mengekstrak data berharga, dan menjalankan operasi. perintah sistem dan muatan yang diunduh secara sewenang-wenang.
“Dalam waktu kurang dari setahun, para pelaku secara signifikan meningkatkan rantai infeksi dan membuatnya lebih kompleks,” kata para peneliti. “Semua fungsi dari kampanye lama dipertahankan, tetapi dibagi antara beberapa komponen sehingga lebih sulit untuk menganalisis atau mendeteksi setiap tahap.”
“Evolusi alat dan teknik selama periode ini menunjukkan bahwa aktor di balik kampanye tersebut gigih dalam mencapai tujuan mereka secara diam-diam.”