Kamis, 14 Maret 2024 | 2 min read | Andhika R
Aktor Ancaman “Evasive Panda” Beraksi, Menyasar Pengguna di Tibet
Sejak September 2023, aktor ancaman yang dikenal sebagai Evasive Panda telah mengatur serangan-serangan yang ditujukan kepada pengguna di Tibet. Tujuannya adalah mengirimkan pengunduh berbahaya untuk Windows dan macOS yang menyebarkan pintu belakang MgBot serta implan Windows yang sebelumnya tidak berdokumen yang dikenal sebagai Nightdoor.
Menurut temuan dari ESET yang dilaporkan oleh The Hacker News, para penyerang menyusup setidaknya tiga situs web untuk melakukan serangan watering-hole, serta menyusupi rantai pasokan sebuah perusahaan perangkat lunak di Tibet. Operasi ini baru diketahui pada Januari 2024.
Evasive Panda, yang aktif sejak 2012 dan juga dikenal sebagai Bronze Highland dan Daggerfly, sebelumnya telah diungkapkan oleh perusahaan keamanan siber Slovakia pada April 2023 karena menargetkan organisasi non-pemerintah internasional di China Daratan dengan MgBot.
Laporan dari Symantec milik Broadcom juga mengimplikasikan bahwa musuh tersebut melakukan kampanye spionase dunia maya dengan menyusup ke penyedia layanan telekomunikasi di Afrika sejak November 2022.
Baca Juga: Waspada! Ancaman phishing Melalui Situs Streaming Ilegal Semakin Meningkat
Serangkaian serangan cyber terbaru melibatkan kompromi web strategis dari situs web Kagyu International Monlam Trust. Para peneliti ESET mengatakan bahwa penyerang menempatkan skrip di situs web tersebut untuk memverifikasi alamat IP calon korban dan menampilkan halaman kesalahan palsu jika alamat tersebut berada dalam rentang alamat yang ditargetkan. Para penyerang juga memanfaatkan Festival Kagyu Monlam tahunan di India pada Januari dan Februari 2024 untuk menyasar komunitas Tibet di beberapa negara dan wilayah. Eksekusi berfungsi sebagai landasan peluncuran untuk memuat implan Nightdoor, yang kemudian menyalahgunakan API Google Drive untuk perintah dan kontrol. Selain itu, kampanye ini terkenal karena menyusup ke situs web perusahaan perangkat lunak India dan rantai pasokan untuk mendistribusikan penginstal perangkat lunak terjemahan bahasa Tibet yang telah di-trojanisasi untuk Windows dan MacOS pada September 2023. Para penyerang juga menyalahgunakan situs web Tibetpost untuk menampung muatan yang diperoleh dari unduhan berbahaya, termasuk dua backdoor berfitur lengkap untuk Windows dan sejumlah muatan yang tidak diketahui untuk macOS. ESET mencatat bahwa pintu belakang dilengkapi dengan fitur untuk mengumpulkan informasi sistem, menelurkan shell terbalik, melakukan operasi file, dan menghapus instalan dirinya dari sistem yang terinfeksi. Keseluruhan, serangan ini menunjukkan tanda-tanda serangan multi-tahap yang canggih dan menargetkan beberapa jaringan di Asia Timur.
Baca Juga: Waspada! Ancaman phishing Melalui Situs Streaming Ilegal Semakin Meningkat
Serangkaian serangan cyber terbaru melibatkan kompromi web strategis dari situs web Kagyu International Monlam Trust. Para peneliti ESET mengatakan bahwa penyerang menempatkan skrip di situs web tersebut untuk memverifikasi alamat IP calon korban dan menampilkan halaman kesalahan palsu jika alamat tersebut berada dalam rentang alamat yang ditargetkan. Para penyerang juga memanfaatkan Festival Kagyu Monlam tahunan di India pada Januari dan Februari 2024 untuk menyasar komunitas Tibet di beberapa negara dan wilayah. Eksekusi berfungsi sebagai landasan peluncuran untuk memuat implan Nightdoor, yang kemudian menyalahgunakan API Google Drive untuk perintah dan kontrol. Selain itu, kampanye ini terkenal karena menyusup ke situs web perusahaan perangkat lunak India dan rantai pasokan untuk mendistribusikan penginstal perangkat lunak terjemahan bahasa Tibet yang telah di-trojanisasi untuk Windows dan MacOS pada September 2023. Para penyerang juga menyalahgunakan situs web Tibetpost untuk menampung muatan yang diperoleh dari unduhan berbahaya, termasuk dua backdoor berfitur lengkap untuk Windows dan sejumlah muatan yang tidak diketahui untuk macOS. ESET mencatat bahwa pintu belakang dilengkapi dengan fitur untuk mengumpulkan informasi sistem, menelurkan shell terbalik, melakukan operasi file, dan menghapus instalan dirinya dari sistem yang terinfeksi. Keseluruhan, serangan ini menunjukkan tanda-tanda serangan multi-tahap yang canggih dan menargetkan beberapa jaringan di Asia Timur.
Andhika RDigital Marketing at Fourtrezz
Artikel Terpopuler
Privasi Digital di Era Big Data: Bagaimana Perusahaan di Indonesia Melindungi Data Pelangga
Tags: Privasi Digital, Perlindungan Data, Big Data, Keamanan Siber, UU PDP
Baca SelengkapnyaBerita Teratas
Berlangganan Newsletter FOURTREZZ
Jadilah yang pertama tahu mengenai artikel baru, produk, event, dan promosi.
PT. Tiga Pilar Keamanan
Grha Karya Jody - Lantai 3Jl. Cempaka Baru No.09, Karang Asem, Condongcatur
Depok, Sleman, D.I. Yogyakarta 55283
Informasi
Perusahaan
Partner Pendukung