Ngeri, Hacker Manfaatkan Update WPS Office untuk Sisipkan Malware

Menurut para peneliti, pelaku ancaman melakukan serangan AitM dan mencegat lalu lintas yang dihasilkan NSPX30 untuk menyembunyikan aktivitasnya dan menyembunyikan server perintah dan kontrol (C2).

Baca Juga

Kritik Keras Prabowo, Anies Miris Kemenhan Pernah Dibobol Hacker

ESET juga mencatat, Blackwood mungkin berbagi akses dengan grup APT China lainnya. Mengingat, mereka mengamati sistem satu perusahaan menjadi sasaran perangkat yang terkait dengan banyak aktor.

Aspek penting dari aktivitas Blackwood adalah kemampuan untuk menghadirkan NSPX30 dengan membajak permintaan pembaruan yang dibuat oleh perangkat lunak sah, termasuk Tencent QQ, WPS Office, dan Sogou Pinyin.

Baca Juga

Keren, Ubisoft Hentikan Hacker Curi 900 GB Data

Namun hal ini berbeda dengan kompromi rantai pasokan. Mengingat, Blackwood menyadap komunikasi HTTP yang tidak terenkripsi antara sistem korban dan server pembaruan dan melakukan intervensi untuk mengirimkan implan.

Mekanisme pasti yang memungkinkan Blackwood mencegat lalu lintas tersebut tidak diketahui. ESET berspekulasi ini mungkin dilakukan dengan menggunakan implan di jaringan target yang rentan seperti router atau gateway.

Berdasarkan analisis para peneliti, mereka percaya back door asli yang menjadi akar evolusi implan khusus NSPX30 tampaknya telah dikembangkan oleh pengembang malware yang handal.

Editor: Dini Listiyani