Para peneliti telah mengungkapkan tiga kampanye spionase siber yang berfokus pada kompromi jaringan milik perusahaan telekomunikasi besar.
Pada hari Selasa, Cybereason Nocturnus menerbitkan laporan baru tentang penyerang cyber, diyakini bekerja untuk “kepentingan negara China” dan dikelompokkan dengan nama “DeadRinger.”
Menurut perusahaan keamanan siber tersebut, kampanye “yang sebelumnya tidak teridentifikasi” berpusat di Asia Tenggara — dan dengan cara yang mirip dengan bagaimana penyerang mengamankan akses ke korban mereka melalui vendor terpusat dalam kasus SolarWinds dan Kaseya, grup ini menargetkan perusahaan telekomunikasi.
Cybereason percaya serangan itu adalah pekerjaan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan sponsor negara Tiongkok karena tumpang tindih dalam taktik dan teknik dengan APT Tiongkok lainnya yang diketahui.
Teknik yang dicatat dalam laporan termasuk eksploitasi kerentanan Microsoft Exchange Server — jauh sebelum dipublikasikan — penyebaran web shell China Chopper, penggunaan Mimikatz untuk mengumpulkan kredensial, pembuatan suar Cobalt Strike, dan pintu belakang untuk terhubung ke server perintah-dan-kontrol (C2) untuk eksfiltrasi data.
Dalam beberapa kasus, setiap kelompok tumpang tindih dan ditemukan di lingkungan target dan titik akhir yang sama, pada waktu yang sama. Namun, tidak mungkin untuk mengatakan secara definitif apakah mereka bekerja secara independen atau semua di bawah instruksi kelompok pusat lain.
Selengkapnya: ZDNet
