Peneliti cybersecurity telah menjelaskan aktor ancaman yang terkait dengan Cina baru Alux Bumi Itu telah menargetkan berbagai sektor utama seperti pemerintah, teknologi, logistik, manufaktur, telekomunikasi, layanan TI, dan ritel di daerah Asia-Pasifik (APAC) dan Amerika Latin (LATAM).
“Penampakan pertama dari aktivitasnya adalah pada kuartal kedua tahun 2023; saat itu, itu terutama diamati di wilayah APAC,” peneliti mikro tren Lenart Bermejo, Ted Lee, dan Theo Chen mengatakan dalam sebuah laporan teknis yang diterbitkan Senin. “Sekitar pertengahan 2024, itu juga terlihat di Amerika Latin.”
Target utama negara -negara rentang kolektif permusuhan seperti Thailand, Filipina, Malaysia, Taiwan, dan Brasil.
Rantai infeksi dimulai dengan eksploitasi layanan rentan dalam aplikasi web yang terpapar Internet, menggunakannya untuk menjatuhkan shell Web Godzilla untuk memfasilitasi penyebaran muatan tambahan, termasuk backdoors yang dijuluki Vargeit dan Cobeacon (alias Cobalt Strike Beacon).
Vargeit menawarkan kemampuan untuk memuat alat langsung dari server perintah-dan-kontrol (C&C) ke proses Microsoft Paint (“mSpaint.exe”) yang baru ditelur untuk memfasilitasi pengintaian, koleksi, dan exfiltrasi.
“Vargeit juga merupakan metode utama yang melaluinya Earth Alix mengoperasikan alat tambahan untuk berbagai tugas, seperti gerakan lateral dan penemuan jaringan dengan cara yang tidak berkecil,” kata para peneliti.
Poin yang layak disebut di sini adalah bahwa sementara Vargeit digunakan sebagai backdoor tahap pertama, kedua, atau selanjutnya, Cobeavon dipekerjakan sebagai pintu belakang tahap pertama. Yang terakhir diluncurkan dengan menggunakan loader yang dijuluki Masqloader, atau melalui RSBInject, loader shellcode baris perintah berbasis karat.
Iterasi masqloader selanjutnya juga telah diamati menerapkan teknik pengait anti-API yang menimpa setiap pengait ntdll.dll yang dimasukkan oleh program keamanan untuk mendeteksi proses mencurigakan yang berjalan di jendela, sehingga memungkinkan malware dan muatan tertanam di dalamnya terbang di bawah radar.
Eksekusi VargeIT menghasilkan penyebaran lebih banyak alat, termasuk komponen loader dengan nama raiload yang dieksekusi menggunakan teknik yang dikenal sebagai pemuatan samping DLL, dan digunakan untuk menjalankan muatan terenkripsi yang terletak di folder yang berbeda.
Payload kedua adalah Modul Kegigihan dan Waktu yang disebut sebagai Railsetter yang mengubah cap waktu yang terkait dengan artefak Raiload pada host yang dikompromikan, di samping membuat tugas yang dijadwalkan untuk meluncurkan Railload.
 |
| Interaksi Vargeit dan Controller |
“MasQLoader juga digunakan oleh kelompok lain selain ALUX Bumi,” kata Trend Micro. “Selain itu, perbedaan dalam struktur kode MasQLoader dibandingkan dengan alat lain seperti Railsetter dan Raiload menunjukkan bahwa pengembangan Masqloader terpisah dari alat -alat tersebut.”
Aspek yang paling khas dari Vargeit adalah kemampuannya untuk mendukung 10 saluran yang berbeda untuk komunikasi C&C melalui HTTP, TCP, UDP, ICMP, DNS, dan Microsoft Outlook, yang terakhir memanfaatkan grafik API untuk bertukar perintah dalam format yang telah ditentukan menggunakan draft folder dari mailbox yang dikelola penyerang.
Secara khusus, pesan dari server C&C disiarkan dengan R_, sedangkan yang dari backdoor diawali dengan P_. Di antara berbagai fungsinya adalah pengumpulan data yang luas dan eksekusi perintah, yang menjadikannya malware yang kuat di gudang senjata ancaman.
“Bumi Alux melakukan beberapa tes dengan Raiload dan Railsetter,” kata Trend Micro. “Ini termasuk tes deteksi dan upaya untuk menemukan host baru untuk pemuatan samping DLL. Tes pemuatan samping DLL melibatkan ZeroEye, alat open source yang populer di dalam komunitas berbahasa Cina, untuk memindai tabel impor file EXE untuk DLL yang diimpor yang dapat disalahgunakan untuk pemuatan samping.”
Grup peretasan juga telah ditemukan untuk memanfaatkan Virtest, alat pengujian lain yang banyak digunakan oleh komunitas berbahasa Cina, untuk memastikan bahwa alat-alatnya cukup diam-diam untuk mempertahankan akses jangka panjang ke lingkungan target.
“Bumi Alux mewakili ancaman cyberpionage yang canggih dan berkembang, memanfaatkan toolkit yang beragam dan teknik canggih untuk menyusup dan mengkompromikan berbagai sektor, khususnya di wilayah APAC dan Amerika Latin,” simpul para peneliti. “Pengujian dan pengembangan alat yang berkelanjutan dari kelompok ini lebih lanjut menunjukkan komitmen untuk memperbaiki kemampuannya dan menghindari deteksi.”
