Peretas TetrisPhantom baru mencuri data dari drive USB aman di sistem pemerintah

 

Ancaman canggih baru yang dilacak sebagai ‘TetrisPhantom’ telah menggunakan drive USB aman yang telah disusupi untuk menargetkan sistem pemerintah di kawasan Asia-Pasifik.

 Drive USB yang aman menyimpan file di bagian perangkat yang terenkripsi dan digunakan untuk mentransfer data antar sistem dengan aman, termasuk sistem yang berada di lingkungan dengan celah udara.

 Akses ke partisi yang dilindungi dimungkinkan melalui perangkat lunak khusus yang mendekripsi konten berdasarkan kata sandi yang diberikan pengguna. Salah satu perangkat lunak tersebut adalah UTetris.exe, yang dibundel pada bagian drive USB yang tidak terenkripsi.

Peneliti keamanan menemukan versi trojan dari aplikasi UTetris yang digunakan pada perangkat USB aman dalam kampanye serangan yang telah berjalan setidaknya selama beberapa tahun dan menargetkan pemerintah di kawasan APAC.

Menurut laporan terbaru Kaspersky mengenai tren APT, TetrisPhantom menggunakan berbagai alat, perintah, dan komponen malware yang mengindikasikan kelompok ancaman yang canggih dan memiliki sumber daya yang baik.

“The attack comprises sophisticated tools and techniques, including virtualization-based software obfuscation for malware components, low-level communication with the USB drive using direct SCSI commands, self-replication through connected secure USB drives to propagate to other air-gapped systems and injection of code into a legitimate access management program on the USB drive which acts as a loader for the malware on a new machine.” - Kaspersky

 

Detail serangan

 Kaspersky berbagi rincian tambahan dengan BleepingComputer, menjelaskan bahwa serangan dengan aplikasi Utetris yang di-trojan dimulai dengan mengeksekusi payload yang disebut AcroShell pada mesin target.

 AcroShell membuat jalur komunikasi dengan server perintah dan kontrol (C2) penyerang dan dapat mengambil dan menjalankan muatan tambahan untuk mencuri dokumen dan file sensitif, serta mengumpulkan detail spesifik tentang drive USB yang digunakan oleh target.

Pelaku ancaman juga menggunakan informasi yang dikumpulkan dengan cara ini untuk penelitian dan pengembangan malware lain yang disebut XMKR dan UTetris.exe yang telah di-trojan.

"The XMKR module is deployed on a Windows machine and is responsible for compromising secure USB drives connected to the system to spread the attack to potentially air-gapped systems" - Kaspersky

 Kemampuan XMKR pada perangkat ini termasuk mencuri file untuk tujuan spionase dan datanya ditulis di drive USB.

 Informasi pada USB yang disusupi kemudian dieksfiltrasi ke server penyerang ketika perangkat penyimpanan dihubungkan ke komputer yang terhubung ke internet yang terinfeksi AcroShell.

 Kaspersky mengambil dan menganalisis dua varian berbahaya Utetris yang dapat dieksekusi, satu digunakan antara September dan Oktober 2022 (versi 1.0) dan satu lagi digunakan di jaringan pemerintah dari Oktober 2022 hingga sekarang (versi 2.0).

Kaspersky mengatakan serangan ini telah berlangsung setidaknya selama beberapa tahun, dengan spionase menjadi fokus TetrisPhantom. Para peneliti mengamati sejumlah kecil infeksi di jaringan pemerintah, yang mengindikasikan operasi yang ditargetkan.