Zardoor Backdoor Targetkan Organisasi Amal di Arab Saudi

Zardoor Backdoor Targetkan Organisasi Amal di Arab Saudi

Posted by : Admin , Feb 13, 2024
Sebuah organisasi nirlaba Islam anonim di Arab Saudi menjadi sasaran operasi spionase dunia maya rahasia yang bertujuan untuk membuka pintu belakang yang sebelumnya tidak berdokumen bernama Zardoor.
Cisco Talos, yang menemukan aktivitas tersebut pada Mei 2023, mengatakan kampanye tersebut kemungkinan telah berjalan setidaknya sejak Maret 2021, dan sejauh ini hanya satu target yang teridentifikasi. Dia menambahkan bahwa diyakini ada korban lainnya.
Peneliti keamanan Jungsoo An, Wayne Lee, dan Vanja Svajcer menulis, ``Sepanjang kampanye, peretas menggunakan serangan Living-Off untuk menerapkan pintu belakang, menetapkan komando dan kendali (C2), dan mempertahankan persistensi.
Kemampuan pelaku ancaman untuk mempertahankan akses jangka panjang ke lingkungan korban tanpa menarik perhatian. Hacker News menulis bahwa serangan terhadap badan amal Islam termasuk kebocoran data rutin sekitar dua kali sebulan.
Namun, bukti yang dihasilkan digunakan untuk menghilangkan Zardoor dan menjaganya tetap hidup, dan kemudian menggunakan alat proksi terbalik sumber terbuka seperti Fast Reverse Proxy (FRP), sSocks, dan Venom untuk membuat koneksi C2.
"Setelah terhubung, pelaku ancaman menggunakan Windows Management Instrumentation (WMI) untuk bergerak ke samping, meluncurkan proses pada sistem target, dan menjalankan perintah yang diterima dari C2 untuk mengeksploitasi alat serangan, termasuk Zardoor," kata para peneliti. Vektor infeksi tak dikenal membuka jalan ke komponen dropper dan pustaka tautan dinamis berbahaya ('oci.dll') yang bertanggung jawab menyebarkan dua modul pintu belakang 'zar32.dll' dan 'zor32 .dll'.
Yang pertama adalah elemen pintu belakang utama yang memfasilitasi komunikasi C2, sedangkan yang kedua memastikan bahwa zar32.dll diterapkan dengan hak istimewa administrator. Zardoor dapat mengekstrak data, mengeksekusi executable dan shellcode yang diambil dari jarak jauh, memperbarui alamat IP C2, dan menghapus dirinya sendiri dari host.
Asal muasal pelaku ancaman di balik kampanye ini masih belum diketahui, dan tidak ada taktik yang tumpang tindih dengan pelaku ancaman ini yang diketahui atau dilaporkan secara publik saat ini. Namun, hal ini dinilai sebagai tindakan "aktor ancaman tingkat lanjut".
 
Sumber : https://cyberthreat.id/read/16430/Zardoor-Backdoor-Targetkan-Organisasi-Amal-Islam-Saudi