Entitas terkenal di India telah menjadi target kampanye jahat yang diatur oleh aktor ancaman Suku Transparan yang berbasis di Pakistan dan kelompok spionase dunia maya yang sebelumnya tidak dikenal dan merupakan kelompok spionase siber Tiongkok yang dijuluki IcePeony.
Intrusi yang terkait dengan Suku Transparan melibatkan penggunaan malware yang disebut ElizaRAT dan muatan pencuri baru yang dijuluki ApoloStealer pada korban tertentu, kata Check Point dalam tulisan teknis yang diterbitkan minggu ini.
“Sampel ElizaRAT menunjukkan penyalahgunaan sistematis layanan berbasis cloud, termasuk Telegram, Google Drive, dan Slack, untuk memfasilitasi komunikasi perintah dan kontrol,” kata perusahaan Israel tersebut.
ElizaRAT adalah alat akses jarak jauh (RAT) Windows yang pertama kali diamati digunakan oleh Suku Transparan pada Juli 2023 sebagai bagian dari serangan siber yang menargetkan sektor pemerintahan India. Aktif setidaknya sejak tahun 2013, musuh juga terlacak dengan nama APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major, dan PROJECTM.
Gudang malware-nya mencakup alat untuk menyusupi perangkat Windows, Android, dan Linux. Peningkatan penargetan mesin Linux dilatarbelakangi oleh penggunaan fork Ubuntu khusus yang disebut Maya OS oleh pemerintah India sejak tahun lalu.
Rantai infeksi dimulai oleh file Panel Kontrol (CPL) yang kemungkinan besar didistribusikan melalui teknik spear-phishing. Sebanyak tiga kampanye berbeda yang menggunakan RAT telah diamati antara Desember 2023 dan Agustus 2024, masing-masing menggunakan Slack, Google Drive, dan server pribadi virtual (VPS) untuk perintah dan kontrol (C2).
Sementara ElizaRAT memungkinkan penyerang untuk menggunakan kontrol penuh atas titik akhir yang ditargetkan, ApoloStealer dirancang untuk mengumpulkan file yang cocok dengan beberapa ekstensi (misalnya, DOC, XLS, PPT, TXT, RTF, ZIP, RAR, JPG, dan PNG) dari host yang disusupi dan mengekstraknya ke server jauh.
Pada bulan Januari 2024, pelaku ancaman dikatakan telah mengubah modus operandinya dengan menyertakan komponen dropper yang memastikan kelancaran fungsi ElizaRAT. Yang juga diamati dalam serangan baru-baru ini adalah modul pencuri tambahan dengan nama kode ConnectX yang dirancang untuk mencari file dari drive eksternal, seperti USB.
Penyalahgunaan layanan sah yang banyak digunakan di lingkungan perusahaan meningkatkan ancaman karena mempersulit upaya deteksi dan memungkinkan pelaku ancaman untuk berbaur dengan aktivitas sah di sistem.
“Perkembangan ElizaRAT mencerminkan upaya sengaja APT36 untuk meningkatkan malware mereka agar lebih menghindari deteksi dan secara efektif menargetkan entitas India,” kata Check Point. “Memperkenalkan payload baru seperti ApoloStealer menandai perluasan signifikan dari gudang malware APT36 dan menunjukkan bahwa kelompok tersebut mengadopsi pendekatan yang lebih fleksibel dan modular dalam penerapan payload.”
IcePeony Mengejar India, Mauritius, dan Vietnam
Pengungkapan ini terjadi beberapa minggu setelah tim peneliti nao_sec mengungkapkan bahwa kelompok ancaman persisten tingkat lanjut (APT) yang mereka sebut IcePeony telah menargetkan lembaga pemerintah, lembaga akademis, dan organisasi politik di negara-negara seperti India, Mauritius, dan Vietnam setidaknya sejak tahun 2023.
“Serangan mereka biasanya dimulai dengan SQL Injection, diikuti dengan kompromi melalui web shell dan backdoor,” kata peneliti keamanan Rintaro Koike dan Shota Nakajima. “Pada akhirnya, mereka bertujuan untuk mencuri kredensial.”
Salah satu alat yang paling penting dalam portofolio malware-nya adalah IceCache, yang dirancang untuk menargetkan instans Microsoft Internet Information Services (IIS). Biner ELF yang ditulis dalam bahasa pemrograman Go, ini adalah versi khusus dari shell web reGeorg dengan tambahan fitur transmisi file dan eksekusi perintah.
Serangan ini juga ditandai dengan penggunaan pintu belakang mode pasif unik yang disebut IceEvent yang dilengkapi dengan kemampuan untuk mengunggah/mengunduh file dan menjalankan perintah.
“Tampaknya para penyerang bekerja enam hari dalam seminggu,” kata para peneliti. “Meskipun mereka kurang aktif pada hari Jumat dan Sabtu, satu-satunya hari libur mereka tampaknya adalah hari Minggu. Investigasi ini menunjukkan bahwa para penyerang tidak melakukan serangan ini sebagai aktivitas pribadi, namun terlibat di dalamnya sebagai bagian dari operasi yang terorganisir dan profesional. “