Sebuah kelompok peretas canggih yang belum diketahui sebelumnya, yang dilacak sebagai ‘Blackwood’, menggunakan malware yang disebut NSPX30 dalam serangan cyberespionage terhadap perusahaan dan individu. Malware ini disebarkan dengan cara mengambil alih permintaan pembaruan dari perangkat lunak yang sah, seperti Tencent QQ, Sogou Pinyin, dan WPS Office.
.
Siapa Blackwood dan apa tujuannya?
Siapa Blackwood dan apa tujuannya?
Blackwood adalah nama yang diberikan oleh peneliti ESET kepada kelompok peretas yang diduga berafiliasi dengan China. Menurut ESET, Blackwood telah beroperasi sejak setidaknya 2018, dan telah melakukan operasi cyberespionage terhadap individu dan perusahaan dari China, Jepang, dan Inggris Raya. Sasaran mereka termasuk orang-orang yang berbicara bahasa China yang tidak teridentifikasi, yang terhubung ke jaringan sebuah universitas riset publik terkemuka di Inggris Raya, sebuah perusahaan manufaktur dan perdagangan besar di China, dan kantor-kantor yang berbasis di China dari sebuah perusahaan Jepang di bidang teknik dan manufaktur.
.
Peneliti ESET juga mengamati bahwa para peretas mencoba untuk mengkompromikan kembali sistem jika akses hilang. Mereka juga menggunakan teknik adversary-in-the-middle untuk mengambil alih permintaan pembaruan dari perangkat lunak yang sah, dan menyembunyikan infrastruktur asli mereka dengan menggunakan jaringan yang dimiliki oleh Baidu.
Peneliti ESET juga mengamati bahwa para peretas mencoba untuk mengkompromikan kembali sistem jika akses hilang. Mereka juga menggunakan teknik adversary-in-the-middle untuk mengambil alih permintaan pembaruan dari perangkat lunak yang sah, dan menyembunyikan infrastruktur asli mereka dengan menggunakan jaringan yang dimiliki oleh Baidu.
.
Bagaimana cara kerja malware NSPX30?
Bagaimana cara kerja malware NSPX30?
NSPX30 adalah sebuah implant multistage yang mencakup beberapa komponen, seperti dropper, installer, loader, orchestrator, dan backdoor. Kedua komponen terakhir memiliki set plugin sendiri yang mengimplementasikan kemampuan mata-mata untuk beberapa aplikasi, seperti Skype, Telegram, Tencent QQ, dan WeChat (di antara lain). Malware ini juga mampu memasukkan dirinya ke dalam daftar putih beberapa solusi antimalware China.
.
Tujuan utama dari backdoor adalah untuk berkomunikasi dengan pengendalinya dan mengeluarkan data yang dikumpulkan; malware ini mampu mengambil tangkapan layar, merekam ketukan tombol, dan mengumpulkan berbagai informasi. Malware ini juga dapat mengunduh komponen baru atau mengeluarkan informasi yang dikumpulkan dengan menghubungi jaringan yang sah yang dimiliki oleh Baidu.
Tujuan utama dari backdoor adalah untuk berkomunikasi dengan pengendalinya dan mengeluarkan data yang dikumpulkan; malware ini mampu mengambil tangkapan layar, merekam ketukan tombol, dan mengumpulkan berbagai informasi. Malware ini juga dapat mengunduh komponen baru atau mengeluarkan informasi yang dikumpulkan dengan menghubungi jaringan yang sah yang dimiliki oleh Baidu.
.
Bagaimana cara mencegah dan mendeteksi serangan Blackwood?
Bagaimana cara mencegah dan mendeteksi serangan Blackwood?
Untuk mencegah dan mendeteksi serangan Blackwood, ada beberapa langkah yang dapat diambil, seperti:
- Menggunakan perangkat lunak antivirus yang andal dan memperbarui basis data ancaman secara teratur.
- Menghindari mengunduh dan menjalankan file yang mencurigakan atau tidak dikenal dari sumber yang tidak tepercaya.
- Memeriksa integritas file yang diunduh dengan membandingkan checksum atau tanda tangan digitalnya dengan yang asli.
- Menggunakan protokol HTTPS yang terenkripsi saat mengunduh pembaruan perangkat lunak atau berkomunikasi dengan server yang sah.
- Memantau aktivitas jaringan yang tidak biasa atau lalu lintas yang mencurigakan yang berasal dari atau menuju ke domain atau alamat IP yang tidak dikenal.
.
Kesimpulan
Kesimpulan
Blackwood adalah kelompok peretas canggih yang menggunakan malware NSPX30 untuk menyusup ke perangkat lunak populer yang digunakan oleh jutaan pengguna. Malware ini memiliki kemampuan mata-mata yang canggih dan dapat menghindari deteksi dengan cara mengambil alih permintaan pembaruan dari perangkat lunak yang sah dan menggunakan jaringan yang dimiliki oleh Baidu. Untuk melindungi diri dari serangan Blackwood, pengguna harus mengikuti praktik keamanan yang baik dan menggunakan perangkat lunak antivirus yang andal.
sumber
sumber