Aktor ancaman tingkat lanjut dengan hubungan India telah diamati menggunakan beberapa penyedia layanan cloud untuk memfasilitasi pengumpulan kredensial, pengiriman malware, serta perintah dan kontrol (C2).
Perusahaan infrastruktur dan keamanan web Cloudflare melacak aktivitas dengan nama Lemming Cerobohyang juga disebut Outrider Tiger dan Fishing Elephant.
“Antara akhir tahun 2022 hingga sekarang, SloppyLemming secara rutin menggunakan Cloudflare Workers, kemungkinan sebagai bagian dari kampanye mata-mata yang luas yang menargetkan negara-negara Asia Selatan dan Timur,” kata Cloudflare dalam sebuah analisis.
SloppyLemming dinilai telah aktif setidaknya sejak Juli 2021, dengan kampanye sebelumnya memanfaatkan malware seperti Ares RAT dan WarHawk, yang terakhir juga terkait dengan kru peretas terkenal bernama SideWinder. Di sisi lain, penggunaan Ares RAT telah dikaitkan dengan SideCopy, aktor ancaman yang kemungkinan berasal dari Pakistan.
Sasaran aktivitas SloppyLemming mencakup entitas pemerintahan, penegakan hukum, energi, pendidikan, telekomunikasi, dan teknologi yang berlokasi di Pakistan, Sri Lanka, Bangladesh, China, Nepal, dan Indonesia.
Rangkaian serangan tersebut melibatkan pengiriman email spear-phishing ke target yang bertujuan untuk mengelabui penerima agar mengklik tautan berbahaya dengan menimbulkan rasa urgensi yang salah, dengan mengklaim bahwa mereka perlu menyelesaikan proses wajib dalam waktu 24 jam ke depan.
Mengklik URL akan membawa korban ke halaman pengumpulan kredensial, yang kemudian berfungsi sebagai mekanisme bagi pelaku ancaman untuk mendapatkan akses tidak sah ke akun email yang ditargetkan dalam organisasi yang diminati.
“Pelaku menggunakan alat buatan khusus bernama CloudPhish untuk membuat Cloudflare Worker jahat guna menangani logika pencatatan kredensial dan eksfiltrasi kredensial korban ke pelaku ancaman,” kata perusahaan itu.
Beberapa serangan yang dilakukan oleh SloppyLemming telah memanfaatkan teknik serupa untuk menangkap token Google OAuth, serta menggunakan arsip RAR yang menjebak (“CamScanner 06-10-2024 15.29.rar”) yang kemungkinan mengeksploitasi kelemahan WinRAR (CVE-2023-38831) untuk mencapai eksekusi kode jarak jauh.
Yang ada dalam berkas RAR tersebut adalah sebuah executable yang, selain menampilkan dokumen umpan, secara diam-diam memuat “CRYPTSP.dll,” yang berfungsi sebagai pengunduh untuk mengambil trojan akses jarak jauh yang dihosting di Dropbox.
Perlu disebutkan di sini bahwa perusahaan keamanan siber SEQRITE merinci kampanye serupa yang dilakukan oleh pelaku SideCopy tahun lalu yang menargetkan sektor pemerintah dan pertahanan India untuk mendistribusikan Ares RAT menggunakan arsip ZIP bernama “DocScanner_AUG_2023.zip” dan “DocScanner-Oct.zip” yang dirancang untuk memicu kerentanan yang sama.
Urutan infeksi ketiga yang digunakan oleh SloppyLemming melibatkan penggunaan umpan spear-phishing untuk mengarahkan calon target ke situs web palsu yang meniru Dewan Teknologi Informasi Punjab (PITB) di Pakistan, setelah itu mereka diarahkan ke situs lain yang berisi berkas pintasan internet (URL).
File URL disertakan dengan kode untuk mengunduh file lain, file yang dapat dieksekusi bernama PITB-JR5124.exe, dari server yang sama. Biner tersebut adalah file sah yang digunakan untuk melakukan sideload DLL jahat bernama profapi.dll yang kemudian berkomunikasi dengan Cloudflare Worker.
URL Pekerja Cloudflare ini, menurut perusahaan, bertindak sebagai perantara, yang meneruskan permintaan ke domain C2 sebenarnya yang digunakan oleh penyerang (“aljazeerak[.]on line”).
Cloudflare menyatakan bahwa mereka “melihat upaya terpadu yang dilakukan oleh SloppyLemming untuk menargetkan departemen kepolisian Pakistan dan organisasi penegak hukum lainnya,” dan menambahkan “ada indikasi bahwa pelaku telah menargetkan entitas yang terlibat dalam pengoperasian dan pemeliharaan satu-satunya fasilitas tenaga nuklir Pakistan.”
Beberapa target lain dari aktivitas pengumpulan kredensial mencakup organisasi pemerintah dan militer Sri Lanka dan Bangladesh, dan pada tingkat yang lebih rendah, entitas sektor energi dan akademis Tiongkok.