Evasive Panda' Linked to Mysterious Attack Distributing MsgBot Malware via Tencent QQ Update
October 27, 2024 ,

Evasive Panda’ Linked to Mysterious Attack Distributing MsgBot Malware via Tencent QQ Update

Tahun 2022 telah menjadi tahun yang sangat berkesan dalam industri keamanan siber. Salah satu contoh terbaru adalah serangan siber yang dilakukan oleh grup Evasive Panda, sebuah aktor siber yang aktif sejak setidaknya tahun 2012. Grup ini dikenal dengan kemampuan tinggi dan kemampuan untuk melakukan serangan yang sangat spesifik dan berfokus.

Pada bulan Januari 2022, tim analisis keamanan ESET menemukan indikasi bahwa operasi penyerangan mulai pada tahun 2020. Mereka juga menemukan bahwa korban sebagian besar adalah anggota organisasi non-pemerintahan (NGO) yang berlokasi di provinsi Gansu, Guangdong, dan Jiangsu, China.

Serangan ini dilakukan dengan cara mengirimkan malware MsgBot sebagai bagian dari update software Tencent QQ. Update software ini berasal dari URL dan alamat IP yang sah dan diketahui sebagai developer software, sehingga membuat tim ESET memiliki dua kemungkinan skenario untuk serangan ini – serangan supply chain atau serangan Adversary-in-the-Middle (AITM).

Dalam skenario pertama, Evasive Panda harus membrekkan server distribusi update Tencent QQ untuk mengtrojanisasi file updater 'QQUrlMgr.exe' yang diterima oleh korban dengan bentuk software update sah. Dalam skenario kedua, analisis ESET menemukan kemiripan yang signifikan dengan kampanye AITM sebelumnya yang dilakukan oleh aktor siber LuoYu.

Malware MsgBot sendiri adalah backdoor Windows C++ yang telah digunakan oleh Evasive Panda sejak awal operasinya pada tahun 2012. Malware ini menggunakan arsitektur modular untuk mengembangkan fungsi, menerima plugin DLL dari C2 yang melakukan fungsi khusus, termasuk:

  • Loggin key
  • Menyimpan file dari hard drive dan USB pen drive
  • Meng capture text di clipboard
  • Meng capture input dan output audio streams
  • Menyimpan kredensial email Outlook dan Foxmail
  • Menyimpan kredensial browser Chrome, Opera, Firefox, QQBrowser, FileZilla, WinSCP, dll.
  • Menyimpan konten database Tencent QQ yang menyimpan riwayat pesan pengguna
  • Menyimpan informasi dari aplikasi Tencent WeChat

Dalam kesimpulan, grup Evasive Panda telah melakukan serangan siber terhadap pengguna di China dengan tujuan mencuri data sebagian besar dari aplikasi Cina, menggunakan metode yang belum jelas untuk melakukan serangan supply chain pada software Tencent QQ. Hal ini menunjukkan kemampuan tinggi grup ini yang tidak seperti metode infeksi biasa seperti social engineering, phishing, SEO poisoning, dll., dan meminta perhatian lebih dalam kalangan target potensial.

Tags:
Share this

Leave a comment