Panda ganas
Terdapat beberapa cerita dalam beberapa bulan kebelakangan ini mengenai penjenayah siber menggunakan ancaman sebenar Coronavirus untuk menyebarkan perisian hasad dan perisian tebusan . Ancaman ini telah disebarkan ke seluruh dunia, tetapi terdapat sejumlah yang keluar dari China khususnya. Sehingga kumpulan penggodam China Vicious Panda yang ditaja negara telah mula menyebarkan perisian hasad mereka sendiri melalui coronavirus.
Maklumat mengenai serangan itu datang daripada Check Point, yang menerbitkan penyelidikan yang menunjukkan bahawa APT China telah "mempersenjatai" maklumat sah tentang coronavirus untuk menyebarkan perisian hasad berniat jahat mereka kepada orang ramai.
Isi kandungan
Serangan Kedua
Serangan Panda Vicious sebenarnya merupakan kempen perisian hasad kedua berkaitan Coronavirus (COVID-19) yang keluar dari China dalam beberapa minggu lalu. Yang pertama berlaku pada awal Mac apabila kumpulan keselamatan siber Vietnam VinCSS menyedari serangan oleh Mustang Panda. Mustang Panda ialah satu lagi kumpulan penggodam tajaan kerajaan China.
Serangan mereka dikenali kerana mengedarkan e-mel dengan fail RAR yang dilampirkan yang mendakwa mengandungi mesej daripada Perdana Menteri Vietnam tentang coronavirus. Daripada mengandungi sebarang jenis mesej penting, fail RAR mengandungi trojan pintu belakang yang memasang sendiri pada komputer mangsa dan membukanya kepada kumpulan penggodaman.
Panda Kejam Menyerang Kerajaan Mongolia
Serangan Panda Vicious telah dikesan oleh Check Point, yang berkata mereka mengawasi kumpulan itu kerana mereka menjadi sasaran organisasi kerajaan Mongolia. Seperti serangan pertama, kumpulan itu mendakwa mempunyai maklumat penting tentang coronavirus yang harus dimuat turun pengguna untuk mengakses.
Check Point dapat memintas serangan siber daripada "kumpulan APT Cina ke atas entiti sektor awam Mongolia." Serangan itu memanfaatkan ketakutan koronavirus semasa fasa kejuruteraan sosial. Ia mengandungi dua dokumen. Salah satu dokumen itu berkaitan dengan COVID-19 dan kedua-duanya mendakwa berasal dari Kementerian Luar Mongolia. Dokumen itu dibungkus dengan ancaman perisian hasad unik yang membenarkan akses jauh komputer mangsa.
Lampiran e-mel - Sumber: research.checkpoint.com
Hujung Gunung Ais
Malangnya, serangan terbaharu ini bukanlah sesuatu yang baru dan hanya mewakili puncak gunung es pepatah. Penggodam sentiasa menggunakan jenis krisis ini untuk keuntungan mereka jadi tidak mungkin mereka dapat menahan diri daripada mengambil kesempatan daripada COVID-19.
Dokumen APT Cina terbaharu adalah, menurut Check Point, bertajuk 'Mengenai Penyebaran Jangkitan Koronavirus Baharu'. Ia memetik Jawatankuasa Kesihatan Kebangsaan China agar kelihatan lebih tulen dan lebih berkesan. Walaupun terdapat beberapa ancaman siber yang berkaitan dengan COVID-19, ini nampaknya yang pertama dilakukan oleh kumpulan penggodam tajaan kerajaan terhadap kerajaan asing.
Selain sebagai yang terbaru dalam siri serangan penggodaman berkaitan coronavirus, Check Point mengatakan bahawa serangan itu hanyalah yang terbaru dalam kempen berterusan oleh penggodam China terhadap kerajaan dan organisasi lain. Perbezaannya ialah yang ini memanfaatkan coronavirus sebagai sebahagian daripada kaedah penggunaan.
Serangan itu digambarkan sebagai "mengeksploitasi kepentingan awam dalam coronavirus untuk agenda [China] sendiri melalui rantai jangkitan siber baru." Mereka mengatakan bahawa Vicious Panda menyasarkan negara di seluruh dunia - bukan hanya Mongolia. Mereka menggesa setiap entiti sektor awam dan syarikat telekomunikasi untuk berwaspada terhadap potensi ancaman siber, terutamanya apa-apa yang mendakwa tentang coronavirus.
E-mel dan dokumen itu mendakwa datang dari dalam kerajaan Mongolia sendiri. Sekurang-kurangnya seorang daripada mereka mendakwa berasal dari Menteri Luar Negeri. Kempen itu menyasarkan bahagian lain sektor awam Mongolia. Matlamat kempen nampaknya adalah untuk meraih maklumat dan tangkapan skrin daripada komputer kerajaan, mengedit dan memadam fail, dan mengambil kawalan jauh komputer tersebut.
Bagaimana Perisian Ransomware Panda Vicious Berfungsi?
Lampiran berniat jahat mengandungi trojan capaian jauh (RAT) yang boleh mengawal komputer. Trojan diprogramkan untuk mempunyai sambungan terhad kepada pelayan arahan dan kawalan, yang boleh menjadikannya lebih sukar untuk dikesan. Struktur muatan mencadangkan bahawa ia boleh termasuk modul lain yang dijadualkan untuk pemasangan kemudian sebagai sebahagian daripada kempen yang lebih besar. Daripada perkara yang boleh diketahui oleh Check Point, perisian hasad yang digunakan dalam serangan itu adalah regangan yang benar-benar unik dan direka bentuk tersuai, tetapi cara ia berfungsi – dan apa yang dilakukannya – agak biasa.
Rantai Jangkitan Panda Vicious - Sumber: research.checkpoint.com
Check Point memecahkan bahagian lain kempen, seperti tempat pusat arahan dan kawalan dihoskan. Walau bagaimanapun, pada penghujung hari, perisian hasad ini tidak lain merupakan kempen tajaan kerajaan. Ia menggunakan kejuruteraan sosial untuk menggalakkan pengguna memuat turun dan membuka lampiran. Lampiran memuatkan fail lain dan memasang pintu belakang ke komputer. China kemudiannya boleh mengeksploitasi pintu belakang itu untuk mengintip sasaran kerajaan.
Penyangak Siber Akan Terus Memanfaatkan China dan Coronavirus
Walaupun papan tanda peringkat atas tidak menawarkan maklumat yang mencukupi untuk mengenal pasti siapa di sebalik serangan itu, Check Point menggali kod perisian hasad dan mendapati ia serupa dengan kod yang digunakan dalam perisian hasad lain yang berkaitan dengan China. Kempen tersebut juga ditujukan kepada musuh China.
China – pusat coronavirus – menggunakan virus itu untuk kelebihannya sendiri dalam banyak kaedah yang memperdaya. Malah penjenayah siber biasa memanfaatkannya dalam kempen mereka sendiri.
