Operator PhantomNet Memodifikasi Software Milik Otoritas Sertifikasi Pemerintah Vietnam Guna Sebarkan Malware

Operation-SignSight-Vietnam-Spionase-PhantomNet

Selang beberapa minggu dari serangan siber yang melanda negara di dunia terutama seperti kasus SolarWinds dan Able Desktop, kini peretas yang belum di identifikasi melakukan serangan ke pemerintahan Vietnam guna menyebarkan malware PhantomNet dengan cara memodifikasi installer perangkat lunak dan kemudian memasangkan backdoor untuk merusak pengguna yang mengunduhnya.

Peneliti dari ESET Researcher mengungkapkan insiden penyerangan ini pada awal Desember 2020 dan pihaknya secara cepat membuat laporan kepada organisasi Otoritas Sertifikasi Pemerintah Vietnam (VGCA). ESET meyakini bahwa belum ada perangkat lunak yang disusupi hingga akhir Agustus 2020 dan dari data telemetrik penyerang belum menyebarkan malware PhantomNet ke tempat lain.

Peneliti keamanan ESET Researcher menyebut serangan ini sebagai bentuk Operasi SignSight. Menurut ESET, kelompok ini hanya ingin mengambil sertifikasi tanda tangan digital elektronik yang dimiliki oleh Otoritas Pemerintah Vietnam.

VGCA juga menerbitkan aplikasi untuk klien yang siap pakai dan tentunya user-friendly yang dapat diunduh untuk warga negara, perusahaan swasta maupun pegawai pemerintah setempat, semua ini sudah diatur secara otomatis menggunakan proses penandatangan dokumen yang sah.

ESET Researcher mengkonfirmasi bahwa dua aplikasi klien untuk Windows 32-bit dan 64-bit yang menjadi sasaran dalam penyebaran malware PhantomNet. Penyerang menanamkan malware yang di dapat dari situs resmi pemerintah Vietnam yang beralamatkan ca.gov.vn dan penginstal tersebut dapat diunduh melalui protokol HTTPS. Menurut ESET Research, ia meyakini ini bukanlah serangan man-in-the-middle.

Dalam laporan pada tanggal 23 Juli hingga 16 Agustus 2020 kelompok yang menyebarkan malware PhantomNet berasal dari grup SManager sebagaimana yang juga pernah dianalisis oleh NTT Security.

Dalam perjalanan tahun-tahun ini banyak perusahaan raksasa menjadi korban serangan rantai pasokan, diantaranya:
  • SolarWinds, 18.000 pelanggan diduga terancam terkena malware SUNBRURST / SUPERNOVA. Diduga peretas berasal dari Russia yang melakukan exploitasi ke perangkat lunak Orion dan menginfeksi ribuan jaringan internal.
  • Able Desktop, perangkat lunak manajemen bisnis pemerintah Mongolia digunakan sebagai wadah mengirimkan backdoor HyperBro, KorPlug RAT, dan Tmanger RAT. Penyerangan ini diduga berasal dari peretas China yang ingin menyebarkan trojan installer.
  • GoldenSpy, peretas merangsak masuk untuk menginstal perangkat lunak yang mengandung malware berbahaya, memungkinkan pelanggan membayar pajak lokal dan memasang backdoor yang tersembunyi.
  • Wizvera Veraport, Hidden Cobra, peretas asal Korea Selatan yang melakukan serangan mencuri informasi sensitif dan membahayakan organisasi cryptocurrency. Dalam penyerangan ini sang pelaku membawa malware Lazarus guna menginfeksi korban.
Backdoor yang digunakan oleh kelompok peretas dinamakan sebagai Smanager_ssl.DLL, kemungkinan besar ini adalah kelompok SManager yang dulu juga pernah menggunakan file berbahaya ini. Namun, versi terbaru ini diluncurkan pada 26 April 2020.

Posting Komentar

0 Komentar