Aktor ancaman yang dikenal sebagai Gajah Misterius telah diamati menggunakan malware versi lanjutan yang disebut Asynshell.
Kampanye serangan tersebut dikatakan menggunakan umpan bertema Haji untuk mengelabui korban agar mengeksekusi muatan jahat dengan kedok file Microsoft Compiled HTML Help (CHM), kata tim Knownsec 404 dalam analisis yang diterbitkan hari ini.
Gajah Misterius, yang juga dikenal sebagai APT-K-47, adalah aktor ancaman asal Asia Selatan yang telah aktif setidaknya sejak tahun 2022, terutama menargetkan entitas Pakistan.
Taktik dan alat yang digunakan kelompok ini ternyata memiliki kesamaan dengan aktor ancaman lain yang beroperasi di wilayah tersebut, seperti SideWinder, Confucius, dan Bitter.
Pada bulan Oktober 2023, kelompok ini dikaitkan dengan kampanye spear-phishing yang mengirimkan pintu belakang yang disebut ORPCBackdoor sebagai bagian dari serangan yang ditujukan terhadap Pakistan dan negara-negara lain.
Vektor akses awal yang tepat yang digunakan oleh Mysterious Elephant dalam kampanye terbarunya tidak diketahui, namun kemungkinan besar melibatkan penggunaan email phishing. Metode tersebut mengarah pada pengiriman file arsip ZIP yang berisi dua file: file CHM yang mengklaim tentang kebijakan haji tahun 2024 dan file eksekusi tersembunyi.
Ketika CHM diluncurkan, CHM digunakan untuk menampilkan dokumen umpan, file PDF sah yang disimpan di situs web Kementerian Agama dan Kerukunan Antaragama milik pemerintah Pakistan, sementara biner tersebut dieksekusi secara diam-diam di latar belakang.
Malware yang relatif sederhana ini dirancang untuk membuat shell cmd dengan server jarak jauh, dengan Knownsec 404 mengidentifikasi fungsi yang tumpang tindih dengan Asyncshell, alat lain yang telah berulang kali digunakan oleh pelaku ancaman sejak paruh kedua tahun 2023.
Sebanyak empat versi Asyncshell yang berbeda telah ditemukan hingga saat ini, yang menawarkan kemampuan untuk menjalankan perintah cmd dan PowerShell. Rantai serangan awal yang mendistribusikan malware diketahui memanfaatkan kelemahan keamanan WinRAR (CVE-2023-38831, skor CVSS: 7.8) untuk memicu infeksi.
Selain itu, iterasi malware berikutnya telah beralih dari penggunaan TCP ke HTTPS untuk komunikasi perintah dan kontrol (C2), belum lagi memanfaatkan rangkaian serangan yang diperbarui yang menggunakan Skrip Visual Basic untuk menampilkan dokumen umpan dan meluncurkannya dengan sarana tugas yang dijadwalkan.
“Dapat dilihat bahwa APT-K-47 telah sering menggunakan Asyncshell untuk melancarkan aktivitas serangan sejak tahun 2023, dan secara bertahap meningkatkan rantai serangan dan kode muatannya,” kata tim Knownsec 404.
“Dalam aktivitas serangan baru-baru ini, kelompok ini dengan cerdik menggunakan permintaan layanan terselubung untuk mengontrol alamat server shell akhir, mengubah dari C2 tetap versi sebelumnya ke variabel C2, yang menunjukkan pentingnya tempat internal organisasi APT-k-47 di Asyncshell. “