Malware Plugx Kaba

from fireEye

FireEye perusahaan keamanan Amerika Serikat menemukan banyak serangan menggunakan malware APT di kawasan Asia Tenggara. Dari laporan tersebut malware PlugX Kaba menempati peringkat pertama malware APT yang banyak ditemukan. Malware PlugX / Kaba atau disebut juga Backdoor.APT.Kaba merupakan sebuah malware sejenis RAT (Remote access tool). Menurut FireEye, Kaba merupakan salah satu dari tiga APT yang banyak ditemukan selain PoisonIvy dan Taidoor.

Selain di Asia Tenggara malware Kaba banyak ditemukan juga di Amerika Serikat, negara-negara Asia Timur seperti Korea Selatan, Hongkong, Jepang dan Taiwan. PlugX disebarkan melalui email berisikan attachment. Attachment ini merupakan sebuah exploit, atau sebuah file RAR yang bisa mengekstrak dirinya secara otomatis.  Malware ini terdiri dari beberapa komponen DLL yang akan diinjeksi/dimasukkan ke file svchost.exe. Teknik ini disebut juga dll sideloading.  Selain itu ditemukan juga penyebarannya melalui website, dimana korban diberi link sebuah website kemudian ketika diklik maka akan mengunduh malware.

Teknik penyebaran ini memanfaatkan celah keamanan CVE-2012-0158 dan Flash zero day.  Kaba memiliki 2 varian SideBar dan RasTLS. FireEye menemukan Kaba memiliki fungsi command dan control. 4 dari 10 domain yang digunakan sebagai command center berbasis di Hongkong. Beberapa domain berikut terindikasi sebagai command server dari malware ini:

  • scqf.bacguarp.com
  • bbs.zueinfo.com
  • scqf.zueinfo.com
  • fast.bacguarp.com
  • vip.kavupdate.com
  • strnewgm.network-sec.net
  • cache.mindplat.com
  • sql.so-webmail.com
  • philippines.crabdance.com
  • hansoft.sunsb.net

FireEye menyarankan para admin untuk memblokir alamat-alamat diatas. Malware ini menggunakan pula mekanisme algoritma enkripsi. Beberapa fungsi yang ditemukan pada malware ini:

  • 0x3000: GetDiskRelatedInformation
  • 0x3001: SearchDirectoryForFiles
  • 0x3002: SearchDirectoryRecursively
  • 0x3004: ReadFile
  • 0x3007: WriteFile
  • 0x300A: CreateDirectory
  • 0x300C: CreateWindowsDesktop
  • 0x300D: PerformSH_FileOperation
  • 0x300E: ExpandEnvironmentVariable

Selain itu malware juga memiliki fungsi menangkap keylogger melalui GetRawInputData API. Pada varian RasTls terdapat juga dua API “RegisterRawInputDevices” dan “GetRawInputData”.

Bacaan lebih lanjut tentang malware ini dapat dilihat pada blog FireEye berikut:

https://www.fireeye.com/blog/threat-research/2014/07/pacific-ring-of-fire-plugx-kaba.html

https://www.fireeye.com/blog/threat-research/2013/05/targeted-attack-trend-alert-plugx-the-old-dog-with-a-new-trick.html

Bacaan tentang teknik dll side-loading

https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-dll-sideloading.pdf

berita lainnya

https://www.fireeye.com/blog/executive-perspective/2014/01/targeted-attacks-in-2013-asia-pacific.html

https://www.techinasia.com/cyber-threats-in-asia

semoga bermanfaat!


Silahkan tuliskan tanggapan, kritik maupun saran