APT32 Incar Pengguna MacOS dengan Dokumen Word yang Disusupi Trojan Backdoor

apt32-malware-macos-attack

APT32 atau yang lebih sering disebut OceanLotus, Bismuth atau SeaLotus adalah kelompok geng penjahat dunia maya yang sudah ada sejak 2013. Mereka dikenal sering meluncurkan serangan-serangan besar yang ditargetkan untuk perusahaan media, perbankan, penelitian lab maupun konstruksi. Baru-baru ini peneliti keamanan siber, Trend Micro, menemukan indikasi penyerangan trojan backdoor berasal dari Vietnam, karena dokumen yang berhasil ditemukan menggunakan bahasa mereka.

Trend Micro merilis postingan di situsnya atas temuan trojan backdoor yang mengincar sejumlah pengguna macOS. Varian trojan terbaru ini mengandalkan muatan multi-stage dan teknik bypass anti-detection untuk menghindari macam-macam perangkat anti virus.

"Hal yang baru dari varian ini adalah penamaan domain dan perilaku yang bisa menghindari perangkat anti virus," kutip Luis Magisa dan Steven Du, Trend Micro.

Sama seperti yang lainnya. serangan awal untuk menyebarkan malware biasanya dilakukan melalui pengiriman email atau tautan situs yang berbahaya. File yang dikirimkan berupa dokumen word yang sudah dimodifikasi dan disusupi payload malware berbahaya. Tidak hanya melalui email, APT32 aka OceanLotus ini juga menyebarkan malware melalui Play Store yang benar-benar sulit di deteksi.

Malware ini dikemas dengan pack .zip dan menggunakan ekstensi .doc.app. Trik ini digunakan untuk mencegah membuka Microsoft Word yang asli dan meluncurkan aplikasi serupa yang disamarkan dengan karakter unicode pada nama file. Ketika korban membuka dokumen tersebut secara default kode berbahaya langsung tereksekusi. Perhatikan gambar di bawah ini.

unicode-word-backdoor
Photo: Unicode filename dokumen word (Trend Micro)

Untuk mencegah dari pendeteksian anti-virus, nama aplikasi tersebut menggunakan karakter khusus yang dilabeli sebagai "efb880" yang diberikan warna merah, encoding itu termasuk penggunaan UTF-8.

Saat mencari nama file / folder yang berisi dokumen word berbahaya itu menunjukkan file yang bernama "ALL tim nha Chi Ngoc.doc". Saat dijalankan, malware tersebut mengelabui perangkat lunak Microsoft Word asli dengan penggunaan ekstensi .doc tetapi saat dijalankan tidak lagi menggunakan karakter unicode seperti sebelumnya.

apt32-fake-dokumen-word
Photo: Tanpa karakter unicode (Trend Micro)

Byte ini secara umum tidak mengubah visual file, ini akan terlihat normal tanpa diketahui oleh pengguna karena sistem operasi akan melihat bahwa app bundle tersebut bagian dari jenis direktori yang tidak di dukung oleh karakter itu. Setelah korban melakukan klik dua kali, maka payload berbahaya akan tersimpan pada folder /tmp dan mulai menjalankan perintah tersembunyi.

Payload yang digunakan pada tahapan ketiga menggunakan encoding base64 dan manipulasi byte. Coba dilihat pada baris 4, variabel ini mendefinisikan barisan kata yang berukuran 850KB yang disembunyikan dengan base64 encoding. Lalu, disembuyikan di folder /tmp yang diberi izin menggunakan perintah chmod.

encoding-base64-macos
Photo: Encoding script dengan base64 (Trend Micro)

Payload ini akan mengumpulkan informasi dasar mengenai sistem operasi yang digunakan dan mengirimkan data tersebut ke server menggunakan command-and-control (C2) serta menerima informasi tambahan lainnya.

Cara kerja backdoor ini mampu mengumpulkan informasi hingga prosesor dan memori, mendapatkan seri nomor model dan mendapatkan informasi MAC Address. Payload ini juga mendukung perintah seperti mengunduh, mengunggah, menjalankan perintah, menjalankan file dan mendapatkan informasi konfigurasi dari komputer korban, itu semua dilakukan dengan jarak jauh.

Peneliti keamanan mengidentifikasi bahwa malware yang disebarkan ini memiliki kemiripan dengan backdoor tahun 2018 termasuk perintah kode untuk menjalankan backdoor dan byte kode untuk mengelabui aplikasi asli.

Baca Juga:

Sebelumnya, APT32 aka OceanLotus juga menerbitkan malware berbahaya lainnya yang mampu menghindari pendeteksian anti-virus, termasuk menggunakan teknik steganography dan menyuntikkan malware miliknya ke layanan Windows Error Reporting (WER).

Setidaknya aksi yang dilakukan pada bulan Januari - April, Geng OceanLotus menargetkan Kementerian Manajemen Darurat di China, provinsi Wuhan, dalam rangka ingin mencuri informasi tentang COVID-19 di negara tersebut. Selain itu, OceanLotus juga dikabarkan melakukan aksi memata-matai pengguna Android di Asia.

Dari hasil identifikasi yang dilakukan peneliti keamanan Trend Micro, mereka menemukan setidaknya tiga domain berbahaya yang terindikasi sebagai sarang malware diantaranya sebagai berikut:
  1. mihannevis[.]com
  2. mykessef[.]com
  3. idtpl[.]org
Karena ini malware ini menargetkan pengguna macOS, peneliti keamanan memberikan pesan untuk tidak melakukan klik pesan dari email atau situs yang tidak dikenal ataupun mengunduh aplikasi yang tak pernah dilihat sebelumnya. Selain itu, lakukan update dan upgrade aplikasi yang sudah usang guna menghindari exploitasi aplikasi yang rentan tersebut.