Penyadang Virus Qq: Hacker Mysterius Menginfeksi Pengguna Tencent QQ
October 27, 2024 ,

Penyadang Virus Qq: Hacker Mysterius Menginfeksi Pengguna Tencent QQ

Pada bulan Januari 2022, para peneliti keamanan ESET menemukan kampanye hacking yang aneh dan mencolok yang melibatkan virus MsgBot sebagai bagian dari pembaruan otomatis aplikasi pengiriman pesan Tencent QQ. Kampanye ini dihubungkan dengan kelompok hacker APT (Advanced Persistent Threat) Tiongkok bernama "Evasive Panda" yang telah aktif sejak 2012.

Kelompok Evasive Panda dikenal sebagai aktor siber yang melakukan operasi cyberespionage yang fokus dan terarah. Mereka telah mengincar organisasi dan individu di Tiongkok, Hong Kong, Makau, Nigeria, dan berbagai negara di Asia Tenggara dan Timur.

Kampanye ini menargetkan anggota organisasi non-pemerintah (NGO) internasional yang berbasis di provinsi Gansu, Guangdong, dan Jiangsu. Dengan demikian, kampanye ini tampaknya memiliki target yang khusus dan terarah.

Analisis ESET memungkinkan dua scenario untuk serangan tersebut: serangan supply chain atau attacker-in-the-middle (AITM).

Dalam skenario pertama, Evasive Panda harus melanggar keamanan Tencent QQ's update distribution servers untuk mengtrojanisasi file "QQUrlMgr.exe" yang diterima oleh korban sebagai bagian dari pembaruan software yang sah.

ESET menemukan bahwa versi trojani dari file updater itu fetch malware dari URL keras ("update.browser.qq[.]com") dan menggunakan kunci dekripsi keras yang cocok dengan hash MD5 yang diberikan server. Namun, keabsahan URL ini belum divalidasi, dan Tencent tidak merespons pertanyaan ESET.

Dalam skenario kedua, ESET menemukan kesamaan yang mencolok dengan kampanye masa lalu yang menggunakan taktik AITM, termasuk kampanye "WinDealer" yang diperkenalkan oleh Kaspersky dalam laporan 2022.

Malware MsgBot
Payload MgBot yang diterima dalam kampanye ini adalah backdoor C++ Windows yang telah digunakan Evasive Panda sejak awal operasi mereka pada 2012. ESET melaporkan bahwa malware installer, backdoor, fungsi, dan jalur eksekusi MgBot telah tetap tidak berubah sejak Malwarebytes menganalisisnya pada 2020.

MgBot menggunakan arsitektur modular untuk memperluas fungsinya, menerima plugin DLL dari C2 yang melaksanakan fungsi-fungsi yang spesifik, termasuk:

  • Keylogging pada aplikasi Tencent tertentu
  • Mengambil file dari hard drive dan USB flash drive
  • Menangkap stream audio input dan output
  • Mengambil kreditual dari Outlook dan Foxmail email client
  • Mengambil kreditual dari Chrome, Opera, Firefox, QQBrowser, FileZilla, WinSCP, dan lain-lain
  • Mengambil isi database Tencent QQ yang menyimpan riwayat pesan pengguna
  • Mengambil informasi dari Tencent WeChat
  • Mengambil cookie dari Firefox, Chrome, dan Edge

Dalam kesimpulan, Evasive Panda APT ditemukan menginfeksi pengguna di Tiongkok, dengan tujuan memperoleh data yang sebagian besar berasal dari aplikasi China, menggunakan metode supply chain attack yang tidak jelas pada software Tencent QQ.

Kampanye ini adalah contoh tinggi kemampuan grup Evasive Panda yang melampaui metode infeksi standar seperti engajement sosial, phishing, SEO poisoning, dan lain-lain, dan memerlukan kesadaran yang lebih tinggi dari potensi target.

Tags:
Share this