Serangan malware SpyGlace APT-C-60 kembali menegaskan kompleksitas ancaman siber di era modern. Dalam serangan ini, kelompok peretas APT-C-60 menyasar sebuah organisasi di Jepang menggunakan email bertema lamaran kerja untuk menyusupkan backdoor SpyGlace.
Dalam kampanye ini, pelaku memanfaatkan layanan sah seperti Google Drive, Bitbucket, dan StatCounter untuk menjalankan aksi mereka. Penelitian dari JPCERT/CC menunjukkan bahwa serangan berlangsung pada Agustus 2024, menunjukkan bagaimana kelompok APT ini terus beradaptasi dengan teknik-teknik baru untuk mengelabui korban dan menghindari deteksi.
APT-C-60: Kelompok Peretas yang Disinyalir Berbasis di Korea Selatan
Serangan malware SpyGlace APT-C-60 dilakukan oleh kelompok yang dikenal dengan sebutan APT-C-60. Kelompok ini memiliki afiliasi kuat dengan Korea Selatan dan sering menyasar negara-negara Asia Timur. Dalam serangan terbaru, mereka menggunakan kerentanan eksekusi kode jarak jauh pada WPS Office untuk Windows (CVE-2024-7262) untuk menginstal SpyGlace, backdoor yang dirancang khusus untuk pencurian data dan kontrol jarak jauh.
Dengan target spesifik, serangan ini mencerminkan tren peningkatan penggunaan metode yang tidak konvensional dalam kampanye siber, termasuk memanfaatkan file disk virtual (VHD/VHDX) untuk menghindari deteksi sistem keamanan.
Rantai Serangan: Dari Phishing ke Kontrol Komando
Rantai serangan dimulai dengan email phishing bertema lamaran kerja yang dikirim ke kontak rekrutmen organisasi target. Email ini berisi tautan ke file yang dihosting di Google Drive. File tersebut adalah virtual hard disk drive (VHDX) yang, ketika diunduh dan dipasang, berisi dokumen umpan serta file pintasan Windows (“Self-Introduction.lnk”).
File .LNK tersebut berfungsi sebagai pemicu utama, menjalankan langkah-langkah berikut:
- Meluncurkan payload pengunduh bernama “SecureBootUEFI.dat.”
- Menggunakan StatCounter untuk mentransmisikan string unik perangkat korban melalui HTTP referer field, yang dihasilkan dari nama komputer, direktori home, dan nama pengguna.
- Mengakses Bitbucket untuk mendapatkan file bernama “Service.dat,” yang kemudian mengunduh dua artefak tambahan (“cbmp.txt” dan “icon.txt”).
File “Service.dat” menggunakan teknik COM hijacking untuk menjalankan “cn.dat,” yang selanjutnya meluncurkan backdoor SpyGlace (“sp.dat”).
Fungsi Backdoor SpyGlace
SpyGlace adalah backdoor yang dirancang untuk komunikasi dengan server perintah dan kontrol (C2) yang dioperasikan pelaku, yaitu “103.187.26[.]176.” Setelah terhubung, malware ini memungkinkan penyerang untuk:
- Mencuri file sensitif dari perangkat korban.
- Memuat plugin tambahan untuk memperluas kemampuan malware.
- Menjalankan perintah yang diinginkan penyerang.
Fleksibilitas ini menjadikan SpyGlace alat serangan yang efektif dan berbahaya.
Teknik Canggih yang Digunakan oleh APT-C-60
Dalam serangan ini, APT-C-60 menunjukkan kemampuan tinggi dalam menggabungkan teknik serangan canggih dengan penggunaan layanan sah. Berikut beberapa metode unik yang digunakan:
- Penggunaan Layanan Legitim: Google Drive, StatCounter, dan Bitbucket digunakan untuk menyembunyikan aktivitas berbahaya, mengurangi kemungkinan deteksi.
- Virtual Disk Format (VHD/VHDX): Teknik ini membantu melewati mekanisme perlindungan sistem operasi.
- COM Hijacking: Memberikan metode persisten untuk mengeksekusi malware pada perangkat yang terinfeksi.
Hubungan dengan Kelompok Lain
Penelitian lebih lanjut oleh Chuangyu 404 Lab dan Positive Technologies mengindikasikan bahwa APT-C-60 adalah bagian dari cluster DarkHotel, bersama dengan subkelompok seperti APT-Q-12 (Pseudo Hunter). Serangan serupa yang melibatkan SpyGlace telah dilaporkan sebelumnya, memperkuat keterkaitan antara kelompok-kelompok ini.
Langkah-Langkah Mitigasi
Menghadapi ancaman seperti serangan malware SpyGlace APT-C-60, organisasi perlu mengambil langkah proaktif untuk melindungi infrastruktur mereka:
- Peningkatan Kesadaran Phishing: Latih staf untuk mengenali email phishing dan tidak membuka tautan atau file yang mencurigakan.
- Pembaruan Perangkat Lunak: Pastikan semua sistem, termasuk WPS Office, diperbarui ke versi terbaru yang telah menutup celah keamanan.
- Pemantauan Aktivitas Jaringan: Gunakan alat keamanan untuk mendeteksi lalu lintas mencurigakan ke server C2.
- Penggunaan Teknologi Keamanan Lanjutan: Seperti firewall aplikasi web dan solusi endpoint detection and response (EDR).
Serangan malware SpyGlace APT-C-60 menunjukkan bagaimana ancaman siber terus berevolusi dengan teknik baru dan penggunaan layanan sah untuk mengelabui sistem keamanan. Dengan memanfaatkan file disk virtual, COM hijacking, dan layanan seperti Bitbucket, kelompok ini berhasil meluncurkan kampanye yang sulit dideteksi.
Namun, dengan langkah-langkah mitigasi yang tepat dan peningkatan kesadaran keamanan, organisasi dapat melindungi diri dari ancaman ini. Dalam dunia yang semakin terhubung, kewaspadaan adalah kunci untuk mengamankan data dan jaringan dari serangan yang semakin kompleks.
