Cloudflare Peringatkan Serangan Hacker India ke Asia
- Muhammad Bachtiar Nur Fa'izi
- •
- 27 Sep 2024 18.16 WIB
Pelaku ancaman tingkat lebih lanjut yang memiliki keterkaitan dengan India telah teridentifikasi menggunakan sejumlah penyedia layanan cloud untuk memfasilitasi pengumpulan kredensial, pengiriman malware dan command-and-control (C2).
Perusahaan infrastruktur web dan keamanan, Cloudflare, sedang mengidentifikasi aktivitas ini dengan nama SloppyLemming, yang juga dikenal dengan sebutan Outrider Tiger dan Fishing Elephant.
“Antara akhir 2022 hingga saat ini, SloppyLemming secara konsisten menggunakan Cloudflare Workers, kemungkinan besar sebagai bagian dari kampanye spionase yang luas yang menargetkan negara-negara di Asia Selatan dan Asia Timur,” demikian disampaikan Cloudflare dalam analisisnya.
SloppyLemming diperkirakan aktif setidaknya sejak Juli 2021, dengan kampanye sebelumnya yang memanfaatkan malware seperti Ares RAT dan WarHawk. WarHawk terkait dengan kelompok peretasan yang dikenal dengan nama SideWinder, sementara Ares RAT terhubung dengan SideCopy, aktor ancaman yang kemungkinan besar berasal dari Pakistan.
Sasaran dari aktivitas SloppyLemming mencakup berbagai entitas pemerintah, penegak hukum, sektor energi, pendidikan, telekomunikasi, dan teknologi di Pakistan, Sri Lanka, Bangladesh, Cina, Nepal, dan Indonesia.
Rantai serangan yang dilakukan melibatkan pengiriman email spear-phishing kepada target, bertujuan untuk mengecoh penerima agar mengklik tautan berbahaya dengan menciptakan rasa urgensi palsu yang menyatakan bahwa mereka perlu menyelesaikan proses wajib dalam waktu 24 jam.
Mengklik URL tersebut akan mengarahkan korban ke halaman pengambilan kredensial, yang digunakan pelaku untuk memperoleh akses tidak sah ke akun email yang menjadi target dalam organisasi tersebut.
“Pelaku menggunakan alat yang dirancang khusus bernama CloudPhish untuk membuat Cloudflare Worker berbahaya yang menangani logika pencatatan dan eksfiltrasi kredensial korban,” ujar perusahaan itu.
Beberapa serangan yang dilancarkan oleh SloppyLemming telah memanfaatkan teknik serupa untuk menangkap token Google OAuth, serta menggunakan arsip RAR jebakan (“CamScanner 10-06-2024 15.29.rar”) yang berpotensi mengeksploitasi kerentanan WinRAR (CVE-2023-38831) guna mencapai kode eksekusi jarak jauh.
Di dalam file RAR terdapat file yang dapat dieksekusi, yang tidak hanya menampilkan dokumen umpan, tetapi juga secara diam-diam memuat “CRYPTSP.dll”, berfungsi sebagai pengunduh untuk mengambil trojan akses jarak jauh yang dihosting di Dropbox.
Perlu dicatat bahwa perusahaan keamanan siber SEQRITE telah melakukan kampanye serupa yang dilakukan oleh aktor SideCopy tahun lalu, yang menargetkan pemerintah dan sektor pertahanan India untuk mendistribusikan Ares RAT menggunakan arsip ZIP bernama “DocScanner_AUG_2023.zip” dan “DocScanner-Oct.zip”, yang dirancang untuk memicu kerentanan yang sama.
Urutan infeksi ketiga yang digunakan oleh SloppyLemming meliputi penggunaan umpan spear-phishing untuk mengarahkan calon target ke situs web palsu yang menyamarkan dirinya sebagai Punjab Information Technology Board (PITB) di Pakistan, setelah itu mereka dialihkan ke situs lain yang berisi file menerobos internet (URL) .
URL file tersebut dimasukkan dengan kode untuk mengunduh file lain, yaitu file yang dapat dieksekusi bernama PITB-JR5124.exe, dari server yang sama. Biner ini adalah file sah yang digunakan untuk memuat DLL berbahaya bernama profapi.dll, yang kemudian berkomunikasi dengan Cloudflare Worker.
URL Cloudflare Worker ini, menurut perusahaan, berfungsi sebagai perantara, meneruskan permintaan ke domain C2 yang sebenarnya digunakan oleh pelaku (“aljazeerak[.]online”).
Cloudflare melaporkan bahwa mereka “mengamati upaya yang sama oleh SloppyLemming untuk menargetkan departemen kepolisian Pakistan dan organisasi penegak hukum lainnya,” serta menambahkan bahwa “ada indikasi bahwa aktor tersebut telah menargetkan entitas yang terlibat dalam operasi dan pemeliharaan fasilitas energi nuklir satu-satunya di Pakistan.”
Beberapa target lain dari aktivitas pengumpulan kredensial mencakup organisasi pemerintahan dan militer Sri Lanka dan Bangladesh, serta pada tingkat yang lebih rendah, entitas sektor energi dan akademis di Tiongkok.