GravityRAT: Membedah Software Mata-mata Canggih Untuk Yang Menargetkan Angkatan Bersenjata India

GravityRAT: Membedah Software Mata-mata Canggih Untuk Yang Menargetkan Angkatan Bersenjata India

GravityRAT merupakan sebuah Spayware atau perangkat lunak mata-mata yang diduga Penciptanya diyakini sebagai kelompok peretas Pakistan dimana perangkat lunak tersebut Menargetkan Angkatan Bersenjata India GravityRAT menargetkan mesin Windows. Namun, itu mengalami perubahan pada 2018, dengan perangkat Android ditambahkan ke daftar target.

Pada tahun 2018, para peneliti di Cisco Talos menerbitkan sebuah posting tentang spyware GravityRAT, yang digunakan untuk menargetkan angkatan bersenjata India.

Tim Tanggap Darurat Komputer India (CERT-IN) pertama kali menemukan Trojan pada tahun 2017. Penciptanya diyakini sebagai kelompok peretas Pakistan. 

Menurut informasi, kampanye tersebut telah aktif setidaknya sejak 2015, dan sebelumnya menargetkan mesin Windows. Namun, itu mengalami perubahan pada 2018, dengan perangkat Android ditambahkan ke daftar target.

Bagaimana Spyware GravityRAT Berkerja?

Pada 2019, di VirusTotal,menemukan bagian aneh dari spyware Android, ketika dianalisis, tampaknya terhubung ke GravityRAT. 

Penjahat dunia maya telah menambahkan modul mata-mata ke Travel Mate, aplikasi Android untuk pelancong ke India, yang kode sumbernya tersedia

Images Source: (Google Play Store)

Penyerang menggunakan versi aplikasi yang diterbitkan di Github pada Oktober 2018, menambahkan kode berbahaya dan mengubah namanya menjadi Travel Mate Pro.

Aplikasi meminta izin saat memulai Source: (Google Play Store)

File manifes Trojan mencakup Layanan dan Penerima, yang tidak ada dalam aplikasi dari Github

Trojan mencakup Layanan dan Penerima, yang tidak ada dalam aplikasi dari Github Source (Securelist .com )

List of Trojan classes

Images Source (Securelist .com )

Apa Yang Menjadi Target Spyware GravityRAT ?

Fungsi spyware cukup standar: mengirimkan data perangkat, daftar kontak, alamat email, dan log panggilan dan teks ke server C&C. Selain itu, Trojan mencari file di memori perangkat dan media yang terhubung dengan ekstensi .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx,. ppt, .pptx, .docx, dan .opus, dan mengirimkannya ke C&C juga. 

Malware tidak menyerupai mata-mata Android “biasa” karena pilihan aplikasinya agak spesifik dan kode berbahaya tidak didasarkan pada aplikasi spyware yang dikenal, seperti yang sering terjadi. 

Karena itu, kami memutuskan untuk mencari koneksi dengan keluarga APT yang dikenal.

Alamat C&C di-hardcode ke dalam Trojan

Images Source (Securelist .com )

Hal paling sederhana yang harus dilakukan adalah memeriksa alamat C&C yang digunakan oleh Trojan: 

nortonupdates [.] online: 64443 

nortonupdates [.] online: 64443 

Ternyata, n3.nortonupdates [.] Online: 64443 digunakan oleh malware lain untuk mengunduh data tentang file yang ditemukan di komputer (.doc, .ppt, .pdf, .xls, .docx, .pptx,. xlsx) bersama dengan data tentang mesin yang terinfeksi. 

Bila Kita membedah Script, Maka akan menemukan malware ini: skrip PowerShell berbahaya bernama Enigma.ps1 yang mengeksekusi kode C #.

Images Source (Securelist .com )

Skrip PowerShell dijalankan menggunakan skrip VBS:

Images Source (Securelist .com )

Selanjutnya, kami mendeteksi template skrip VBS yang sangat mirip tanpa jalur yang ditentukan dengan nama iV.dll:

Images Source (Securelist .com )

Itu terletak di dalam enigma.exe kontainer PyInstaller yang ditandatangani oleh E-Crea Limited pada 09.05.2019. Pemasang diunduh dari situs enigma.net [.] Dengan kedok aplikasi berbagi file yang aman untuk melindungi dari ransomware Trojan:

Images Source (Securelist .com )

Selain template VBS, di dalam wadah terdapat template XML untuk Windows Task Scheduler dengan nama aeS.dll, rsA.dll, eA.dll, dan eS.dll:

Images Source (Securelist .com )

Images Source (Securelist .com )

Dan di program utama, jalur dan nama yang diperlukan ditulis ke dalam templat dan tugas terjadwal telah ditambahkan:

Images Source (Securelist .com )

Program dikomunikasikan dengan server di alamat download.enigma.net [.] Di / 90954349.php (perhatikan bahwa 90954349A adalah awal dari hash MD5 dari kata "enigma"). Ini menampilkan antarmuka grafis sederhana dan enkripsi dan logika pertukaran file:

Images Source (Securelist .com )

Versi Mac memiliki fungsi serupa dan menambahkan tugas cron:

Images Source (Securelist .com )

Mirip fungsinya dengan enigma.exe adalah aplikasi Titanium (titaniumx.co [.] In), ditandatangani pada 04.14.2019 oleh Plano Logic Ltd, sertifikat dicabut pada 09.08.2019. 

Di samping muatan Enigma dan Titanium adalah Trojan spyware berikut: 

• Wpd.exe, ditandatangani 09.17.2018 oleh Plano Logic Ltd, sertifikat dicabut 
• Taskhostex.exe, ditandatangani pada 02.18.2020 oleh Theravada Solutions Ltd 
• WCNsvc.exe, ditandatangani pada 09.17.2018 oleh Plano Logic Ltd, sertifikat dicabut 
• SMTPHost.exe, ditandatangani 12.21.2018 oleh Plano Logic Ltd, sertifikat dicabut 
• CSRP.exe 

K & C mereka: 

windowsupdates [.] eu: 46769 

windowsupdates [.] eu: 46769 

mozillaupdates [.] com: 46769 

mozillaupdates [.] com: 46769 

mozillaupdates [.] kami Kami fokus pada port 46769, yang digunakan oleh Trojan di atas. 

Port yang sama digunakan oleh keluarga GravityRAT. Pencarian lebih lanjut dari nortonupdates [.] Online membawa kami ke file PE Xray.exe:

Images Source (Securelist .com )

Versi ini mengumpulkan data dan mengirimkannya ke n1.nortonupdates [.] Online dan n2.nortonupdates [.] Online. Domain n * .nortonupdates [.] Online 

diselesaikan ke alamat IP 213.152.161 [.] 219. Kami memeriksa basis data DNS Pasif untuk domain lain yang sebelumnya ditemukan di alamat ini, dan menemukan u01.msoftserver [.] Eu yang mencurigakan. 

Pencarian domain ini membawa kami ke aplikasi ZW.exe, ditulis dengan Python dan dikemas menggunakan PyInstaller yang sama (ditandatangani pada 04.10.2019 oleh Plano Logic Ltd, sertifikat dicabut pada 09.08.2019). 

Alamat C&C yang dipanggil oleh ZW.exe didekripsi oleh algoritma AES dari file Extras \ SystemEventBrokerSettings.dat: 

• msoftserver [.] eu: 64443 
• msoftserver [.] eu: 64443 
• msoftserver [.] eu: 64443 
• msoftserver [.] eu: 64443 

Komunikasi dengan server berlangsung di alamat relatif /ZULU_SERVER.php. 

Spyware GravityRAT menerima perintah dari server, termasuk ke: 

• mendapatkan informasi tentang sistem
• mencari file di komputer dan removable disk dengan ekstensi .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp, dan .ods, dan upload ke server 
• dapatkan daftar proses yang berjalan 
• mencegat penekanan tombol 
• ambil tangkapan layar 
• menjalankan perintah shell sewenang-wenang 
• rekam audio (tidak diterapkan dalam versi ini) 
• memindai port

Kesimpulan 

Pada tahun 2019, The Times of India menerbitkan artikel tentang metode cybercriminal yang digunakan untuk mendistribusikan GravityRAT selama periode 2015-2018. 

Para korban dihubungi melalui akun Facebook palsu, dan diminta untuk memasang aplikasi jahat yang menyamar sebagai pembawa pesan yang aman untuk melanjutkan percakapan. 

Sekitar 100 kasus infeksi karyawan di pertahanan, polisi, dan departemen serta organisasi lain telah diidentifikasi. Aman untuk berasumsi bahwa kampanye GravityRAT saat ini menggunakan metode infeksi serupa - individu yang ditargetkan dikirimi tautan yang mengarah ke aplikasi berbahaya. 

Modifikasi utama yang terlihat pada kampanye GravityRAT baru adalah multiplatform: selain Windows, sekarang ada versi untuk Android dan macOS. Penjahat dunia maya juga mulai menggunakan tanda tangan digital untuk membuat aplikasi terlihat lebih sah.