Hacker Tiongkok Gunakan Visual Studio Code di Serangan Siber Asia
- Muhammad Bachtiar Nur Fa'izi
- •
- 11 Sep 2024 19.05 WIB
Kelompok ancaman siber yang terus-menerus beroperasi dan memiliki keterkaitan dengan pemerintah Tiongkok, dikenal dengan nama Mustang Panda, telah diamati menggunakan perangkat lunak Visual Studio Code bukan hanya sebagai alat pengembangan, tetapi juga sebagai bagian integral dari operasi spionase yang menargetkan berbagai entitas pemerintah di Asia Tenggara.
Dalam konteks ancaman siber global yang semakin meningkat, penggunaan Visual Studio Code oleh Mustang Panda mengindikasikan bahwa para penyerang semakin canggih dalam mengeksploitasi alat-alat yang umum digunakan oleh pengembang perangkat lunak.
Hal ini menunjukkan bahwa mereka tidak hanya berfokus pada cara-cara tradisional untuk mendapatkan akses ke jaringan yang sensitif, tetapi juga memanfaatkan platform yang terlihat sah untuk menghindari deteksi dan meningkatkan kemungkinan keberhasilan infiltrasi mereka. Penggunaan alat ini menggarisbawahi pentingnya bagi organisasi dan lembaga pemerintah untuk memahami dan melindungi diri dari teknik-teknik canggih yang dapat dimanfaatkan oleh pelaku ancaman dalam upaya mereka untuk mencuri informasi sensitif dan rahasia negara
“Aktornya menggunakan fitur reverse shell yang tertanam dalam Visual Studio Code untuk mendapatkan akses ke jaringan target,” kata peneliti dari Unit 42 Palo Alto Networks, Tom Fakterman, dalam laporan, menggambarkannya sebagai “teknik yang relatif baru” yang pertama kali ditayangkan pada September 2023 oleh Truvis Thornton.
Kampanye ini diperkirakan merupakan kelanjutan dari aktivitas serangan yang telah didokumentasikan sebelumnya yang ditujukan kepada entitas pemerintah Asia Tenggara yang tidak disebutkan namanya pada akhir September 2023.
Mustang Panda, yang juga dikenal dengan beberapa nama seperti BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, dan Red Lich, telah beroperasi sejak 2012, secara rutin melakukan kampanye spionase siber yang menargetkan entitas pemerintah dan keagamaan di Eropa dan Asia , terutama di negara-negara di Laut Cina Selatan.
Urutan serangan terbaru yang diamati sangat mencolok karena kupon reverse shell Visual Studio Code untuk mengeksekusi kode dan menyampaikan payload tambahan.
“Untuk menyalahgunakan Visual Studio Code untuk tujuan jahat, seorang penyerang dapat menggunakan versi portabel dari code.exe (file executable untuk Visual Studio Code) atau versi perangkat lunak yang sudah terpasang,” kata Fakterman. “Dengan menjalankan perintah code.exe tunnel, penyerang akan menerima tautan yang mengharuskan mereka masuk ke GitHub dengan akun mereka sendiri,” tambahnya.
Setelah langkah ini selesai, penyerang diarahkan ke environment web Visual Studio Code yang terhubung dengan mesin yang terinfeksi, memungkinkan mereka untuk menjalankan perintah atau membuat file baru.
Patut mencatat bahwa penggunaan jahat dari teknik ini sebelumnya telah disampaikan oleh perusahaan keamanan siber Belanda, mnemonic, sehubungan dengan eksploitasi zero-day terhadap kerentanan di produk gateway Keamanan Jaringan Check Point (CVE-2024-24919, nilai CVSS: 8.6) awal tahun ini.
Unit 42 menyatakan bahwa aktor Mustang Panda memanfaatkan mekanisme ini untuk menyampaikan malware, melakukan pengintaian, dan mengekstrak data sensitif. Selain itu, penyerang melaporkan menggunakan OpenSSH untuk mengeksekusi perintah, mentransfer file, dan menyebar ke seluruh jaringan.
Tidak hanya itu. Analisis lebih mendalam terhadap environment yang terinfeksi telah mengungkapkan kluster aktivitas kedua yang memanfaatkan malware ShadowPad, sebuah modular backdoor yang banyak dipublikasikan oleh kelompok spionase China.
Saat ini tidak jelas apakah dua set intrusi ini saling terkait, atau jika dua grup yang berbeda menumpang pada akses satu sama lain.
“Berdasarkan bukti forensik dan garis waktu, seseorang dapat menyimpulkan bahwa kedua kluster ini berasal dari aktor ancaman yang sama (Stately Taurus),” kata Fakterman. “Namun, ada kemungkinan penjelasan lain yang dapat menjelaskan koneksi ini, seperti usaha kolaboratif antara dua aktor ancaman APT China,” tambahnya.