Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Region / Russia

Russia

Peretas berbahasa Rusia membuat situs web pemerintah negara bagian AS offline

by

Peretas berbahasa Rusia pada hari Rabu mengklaim bertanggung jawab untuk membobol situs web pemerintah negara bagian di Colorado, Kentucky dan Mississippi, di antara negara-negara lain.

Situs web Dewan Pemilihan Kentucky, yang memposting informasi tentang cara mendaftar untuk memilih, juga offline sementara pada hari Rabu. Situs web dewan pemilihan juga dikelola oleh pemerintah Kentucky, meskipun para peretas tidak secara khusus mencantumkan dewan tersebut sebagai target.

Situs web di Colorado, Kentucky, dan Mississippi tersedia secara sporadis pada Rabu pagi dan sore karena para administrator tampaknya mencoba menghadirkannya secara online.

Kelompok peretasan China yang menargetkan agensi dan perusahaan AS telah meningkatkan aktivitasnya, analisis menemukan
Ini adalah contoh jenis gangguan atau gangguan digital yang sedang dipersiapkan oleh pejabat AS dan pejabat pemilu menjelang pemilihan paruh waktu November.

Situs web seperti Kentucky Board of Elections tidak secara langsung terlibat dalam pemberian atau penghitungan suara, tetapi mereka dapat memberikan informasi yang berguna bagi pemilih.

Kelompok peretas yang mengklaim bertanggung jawab atas penghentian situs web hari Rabu dikenal sebagai Killnet dan meningkatkan aktivitas mereka setelah invasi Rusia ke Ukraina pada Februari untuk menargetkan organisasi di negara-negara NATO. Mereka adalah kelompok lepas dari apa yang disebut “peretas” peretas bermotivasi politik yang mendukung Kremlin tetapi hubungannya dengan pemerintah itu tidak diketahui.

Kelompok itu juga mengaku bertanggung jawab karena secara singkat membobol situs web Kongres AS pada Juli, dan atas serangan siber terhadap organisasi di Lithuania setelah negara Baltik itu memblokir pengiriman beberapa barang ke daerah kantong Rusia Kaliningrad pada Juni.

Beberapa negara bagian telah mengkonfirmasi masalah koneksi intermiten ke situs web mereka menyusul dugaan serangan siber, menurut pemberitahuan dari EI-ISAC, yang bekerja sama dengan pemerintah federal untuk keamanan pemilu.

Pada Rabu sore, situs web Mississippi dan Kentucky, termasuk Dewan Pemilihan Kentucky, kembali online. Situs web negara bagian Colorado masih kesulitan memuat.

Kantor Teknologi Informasi Gubernur Colorado mengatakan portal web negara bagian itu offline “karena serangan siber yang diklaim oleh tersangka aktor asing anonim.”

Pejabat di FBI dan CISA mengulangi minggu ini bahwa setiap upaya peretas untuk melanggar infrastruktur pemilihan “tidak mungkin mengakibatkan gangguan skala besar atau mencegah pemungutan suara.”

Para pemilih di Quincy, Massachusetts, memberikan suara utama mereka di Fore River Clubhouse pada Selasa, 6 September.

Kelompok peretas mendaftarkan situs web negara bagian AS yang digunakan pemerintah negara bagian untuk mempromosikan pariwisata dan menawarkan layanan penduduk – sebagai salah satu daftar target mereka untuk serangan siber pada aplikasi media sosial Telegram di bawah gambar yang bertuliskan “F – NATO.” Mereka biasanya melakukan peretasan kasar yang membuat situs web offline sementara tetapi tidak merusak infrastruktur lebih lanjut.

Killnet berkembang pesat karena perhatian dan keberanian publik, dan pakar keamanan siber harus menyeimbangkan antara memperhatikan kejenakaan online Killnet dan tidak menghipnotis ancaman tingkat rendah.

Sumber: CNN

Peretas telah menemukan cara baru untuk masuk ke akun Microsoft 365 Anda

by

Aktor ancaman yang disponsori negara Rusia, Cozy Bear (alias APT29 atau Nobelium) menemukan taktik baru untuk menyelinap ke akun Microsoft 365, dalam upaya untuk mencuri intelijen kebijakan luar negeri yang sensitif.

Hal tesebut berdasarkan laporan dari Siber Mandiant, yang mengklaim bahwa Cozy Bear menggunakan tiga teknik untuk mengeksekusi (dan menyamarkan) serangan:

  • Menonaktifkan Audit Lingkup sebelum terlibat dengan akun email yang disusupi
  • Brute-forcing Kata sandi Microsoft 365 yang belum mendaftar di otentikasi multi-faktor (MFA)
  • Menutupi jejak dengan menggunakan Mesin Virtual Azure melalui akun yang disusupi, atau dengan membeli layanan

Serangan baru pada Microsoft 365
Dalam Purview Audit para peneliti mengingatkan, fitur keamanan tingkat tinggi mencatat jika seseorang mengakses akun email di luar program (baik melalui browser, Graph API, atau melalui Outlook). Dengan begitu, departemen TI dapat mengelola semua akun dan memastikan tidak ada akses yang tidak sah.

Namun, APT29 mengetahui fitur ini dan memastikan untuk menonaktifkannya sebelum mengakses email.

Para peneliti juga menemukan Cozy Bear menyalahgunakan proses pendaftaran mandiri untuk MFA di Azure Active Directory (AD). Saat pengguna mencoba masuk untuk pertama kalinya, mereka harus mengaktifkan MFA di akun terlebih dahulu.

Pelaku ancaman sedang mencari cara untuk menghindari fitur ini dengan memaksa akun yang belum mendaftar ke fitur keamanan siber tingkat lanjut. Kemudian mereka menyelesaikan proses atas nama korban, memberikan akses tak terbatas ke infrastruktur VPN organisasi target ke seluruh jaringan dan endpoints.

Bagaimanapun, mesin virtual Azure sudah berisi alamat IP Microsoft, dan karena Microsoft 365 berjalan di Azure, tim TI kesulitan membedakan lalu lintas biasa dari lalu lintas berbahaya. Cozy Bear selanjutnya dapat menyembunyikan aktivitas Azure AD-nya dengan mencampurkan URL alamat aplikasi biasa dengan aktivitas jahat.

Kemungkinan pengguna biasa menjadi sasaran kelompok ancaman diyakini relatif rendah, tetapi organisasi besar perlu mewaspadai vektor serangan, yang dapat digunakan untuk menargetkan eksekutif profil tinggi dan orang lain yang memiliki akses ke informasi sensitif.

Sumber: Tech Radar

Cyber Attacker ‘Traps’ mengungkapkan dampak aktivitas ancaman setelah invasi Rusia terhadap Ukraina

by

Peneliti Nozomi Networks telah menemukan bahwa wiper malware, aktivitas botnet IoT, dan invasi Rusia ke Ukraina telah berdampak besar pada lanskap ancaman dunia maya pada paruh pertama tahun 2022.

Data dari teknologi operasional terbaru (OT)/laporan keamanan IoT Jaringan Nozomi telah menunjukkan bahwa lanskap ancaman dunia maya melihat aktivitas dari beberapa jenis pelaku ancaman, termasuk peretas, ancaman persisten tingkat lanjut (APT), dan penjahat dunia maya sejak Rusia memulainya. invasi ke Ukraina pada Februari 2022.

Menurut Roya Gordon, penginjil penelitian keamanan OT/IoT Nozomi Networks, lanskap ancaman dunia maya tahun ini kompleks.

Peneliti Nozomi Networks juga mengamati penggunaan malware wiper yang kuat dan menyaksikan munculnya varian malware Industroyer, yang digunakan dalam serangan cyber di jaringan listrik Ukraina. Dijuluki Industroyer2, malware ini dikembangkan untuk menyalahgunakan protokol IEC-104, yang biasa digunakan di lingkungan industri.

Selama paruh pertama tahun 2022, aktivitas botnet IoT yang berbahaya juga meningkat dan semakin canggih.

Peneliti Nozomi Networks telah menyiapkan serangkaian pot madu untuk menarik botnet jahat ini yang bertujuan untuk menangkap aktivitas mereka guna memberikan wawasan tambahan tentang bagaimana pelaku ancaman menargetkan IoT. Melalui model penelitian ini, para peneliti Nozomi Networks menemukan masalah keamanan yang berkembang untuk kata sandi yang dikodekan secara keras dan antarmuka internet untuk kredensial pengguna akhir.

Dari Januari hingga Juni 2022, Honey Pot Nozomi Networks menemukan:

  • Maret adalah bulan paling aktif dengan hampir 5.000 alamat IP penyerang unik yang dikumpulkan.
  • Alamat IP penyerang teratas dikaitkan dengan China dan Amerika Serikat.
  • Kredensial “Root” dan “Admin” paling sering ditargetkan dan digunakan dalam berbagai variasi sebagai cara bagi pelaku ancaman untuk mengakses semua perintah sistem dan akun pengguna.
  • Manufaktur dan energi terus menjadi industri yang paling rentan menurut peneliti Nozomi Networks, diikuti oleh fasilitas kesehatan dan komersial.

Selama enam bulan pertama tahun 2022:

CISA merilis 560 kerentanan dan eksposur umum (CVE) – turun 14 persen dari paruh kedua tahun 2021.
Jumlah vendor yang terkena dampak naik 27 persen.
Produk yang terkena dampak juga naik 19 persen dari paruh kedua tahun 2021.

Ketika ancaman dunia maya terus berkembang, Gordon mencatat bahwa untungnya, pertahanan keamanan juga berkembang.

Sumber: Cybersecurity Connect

Ukraina menghapus 1.000.000 bot yang digunakan untuk disinformasi

by

Polisi siber Ukraina (SSU) telah menutup sebuah peternakan bot besar-besaran dari 1.000.000 bot yang digunakan untuk menyebarkan disinformasi di jejaring sosial.

Tujuan dari bot farm adalah untuk mendiskreditkan informasi yang berasal dari sumber resmi negara Ukraina, mengacaukan situasi sosial dan politik di negara itu, dan menciptakan perselisihan internal.

Pesan yang disebarkan oleh bot sejalan dengan propaganda Rusia, sehingga operator mesin disinformasi diyakini sebagai anggota layanan khusus Rusia.

Bahkan, penyelidikan SSU mengarah pada pemimpin kelompok kriminal, seorang “pakar politik” Rusia yang pada masa lalu tinggal di Kyiv.

Investigasi polisi Ukraina masih berlangsung untuk mengungkap peserta lain dalam operasi yang akan didakwa atas pelanggaran Pasal 361.2 KUHP negara itu.

Kebun bot yang dibongkar oleh SSU terletak di Kyiv, Kharkiv, dan Vinnytsia dan mengandalkan 1.000.000 bot untuk menyebarkan disinformasi. Untuk membuat tentara online ini, para pelaku ancaman menggunakan 5.000 kartu SIM untuk mendaftarkan akun media sosial baru.

Selain itu, operator menggunakan 200 server proxy yang memalsukan alamat IP sebenarnya dan menghindari deteksi aktivitas penipuan dan pemblokiran oleh platform media sosial.

Menurut SSU, operator bot farm mengembangkan dan menyebarkan perangkat lunak khusus untuk mengelola akun media sosial pseudonim dari jarak jauh, mengoordinasikannya untuk mendorong pesan propaganda yang diperlukan.

Gambar peralatan bot farm (SSU) yang disita

Kekuatan berita palsu tidak dapat diremehkan, terutama selama masa-masa sulit, akses internet terbatas, dan pergolakan umum.

Rusia telah lama terlibat dalam kampanye disinformasi dan telah berinvestasi di peternakan bot yang berbasis di Ukraina yang menargetkan populasi lokal.

Pada Februari 2022, Meta menurunkan beberapa kelompok akun Facebook palsu yang mempromosikan informasi palsu di platform media sosial.

Pada Maret 2022, SSU mengumumkan penemuan dan penutupan lima peternakan bot semacam ini, yang mengoperasikan 100.000 akun media sosial palsu yang menyebarkan berita palsu.

Presiden Ukraina Volodymyr Zelenskyy juga berada di pusat kampanye misinformasi, salah satunya menggunakan deepfake di Facebook dan meretas stasiun radio Ukraina untuk menyebarkan berita palsu bahwa Presiden dalam kondisi kritis. Keduanya diyakini sebagai karya aktor Rusia.

Sejak awal perang, SSU telah mengidentifikasi dan menetralisir lebih dari 1.200 serangan siber terhadap negara dan entitas penting lainnya serta telah melaporkan dan menghapus 500 saluran YouTube yang secara kolektif memiliki 15 juta pelanggan.

Selain itu, agensi telah melaporkan 1.500 saluran dan bot Telegram dan 1.500 akun Facebook, Instagram, dan TikTok lainnya karena menyebarkan propaganda Rusia.

Sumber: Bleeping Computer

Peretas SVR Rusia menggunakan Google Drive, Dropbox untuk menghindari deteksi

by

Peretas yang didukung negara bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia telah mulai menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dengan menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware dan alat berbahaya mereka, pelaku ancaman Rusia menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

Kelompok ancaman yang dilacak sebagai APT29 (alias Cozy Bear atau Nobelium) telah mengadopsi taktik baru ini dalam kampanye baru-baru ini yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

Ikhtisar kampanye phishing APT29 (Unit 42)

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.

Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Kejaksaan A.S. dibobol selama peretasan global SolarWinds.

Pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan “kampanye spionase dunia maya” SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia.

Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate “dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.”

Sumber: Bleeping Computer

Malware yang hampir tidak terdeteksi terkait dengan Cozy Bear Rusia

by

Tim intelijen ancaman Unit 42 Palo Alto Networks mengklaim bahwa sepotong malware yang tidak dapat dideteksi oleh 56 produk antivirus adalah bukti bahwa penyerang yang didukung negara telah menemukan cara baru untuk menjalankan bisnis jahat.

Analis Unit 42 menegaskan bahwa malware itu terlihat pada Mei 2022 dan berisi muatan berbahaya yang menunjukkan bahwa itu dibuat menggunakan alat yang disebut Brute Rate (BRC4).

Di situs webnya, BRC4 digambarkan sebagai “Pusat Komando dan Kontrol Khusus untuk Tim Merah dan Simulasi Musuh”. Pembuat alat ini bahkan mengklaim bahwa mereka merekayasa balik perangkat lunak antivirus untuk membuat BRC4 lebih sulit dideteksi.

Malware Unit 42 yang diamati mulai hidup sebagai file yang berpura-pura menjadi curriculum vitae seorang pria bernama Roshan Bandara. Luar biasa, CV Bandara ditawarkan sebagai file ISO format file gambar disk. Jika pengguna mengklik ISO, itu dipasang sebagai drive Windows dan menampilkan jendela File Manager dengan satu-satunya file: “Roshan-Bandara_CV_Dialog”.

File tersebut terlihat seperti file Microsoft Word tetapi yang mengejutkan sebenarnya bukan CV. Ketika diklik dua kali, CMD.EXE akan terbuka dan menjalankan OneDrive Updater, yang mengambil dan menginstal BRC4.

Setelah malware berjalan, banyak hal buruk dapat terjadi pada mesin yang terinfeksi.

Tapi Unit 42 tidak peduli dengan hal-hal buruk itu. Teknik yang digunakan untuk menjalankan BRC4 inilah yang menarik perhatian tim, karena sangat licik sehingga menunjukkan bahwa aktor negara-bangsa berada di balik pengembangannya.

Bahkan mungkin APT29 geng yang terkait dengan Moskow juga dikenal sebagai Cozy Bear dan diduga terlibat dalam serangan terhadap Solar Winds dan banyak serangan lainnya. APT29 telah menggunakan ISO beracun di masa lalu.

Unit 42 juga mencatat bahwa ISO yang digunakan dalam serangan ini dibuat pada hari yang sama saat versi baru BRC4 muncul, menunjukkan bahwa aktor yang didukung negara dapat mengawasi dunia yang suram dari malware komersial dan dengan cepat menjalankannya sementara dunia mencoba untuk mengejar.

Sumber: The Register

Peretas menargetkan pemerintah Rusia dengan pembaruan Windows palsu yang mendorong RAT

by

Peretas menargetkan lembaga pemerintah Rusia dengan email phishing yang berpura-pura sebagai pembaruan keamanan Windows dan umpan lain untuk menginstal malware akses jarak jauh.

Serangan dilakukan oleh kelompok APT (ancaman persisten lanjutan) yang sebelumnya tidak terdeteksi yang diyakini beroperasi dari China, yang terkait dengan empat kampanye spear-phishing terpisah.

Operasi ini berlangsung antara Februari dan April 2022, bertepatan dengan invasi Rusia ke Ukraina. Targetnya adalah entitas pemerintah Federasi Rusia.

Dalam keempat kasus, tujuan akhir kampanye adalah menginfeksi target dengan trojan akses jarak jauh (RAT) khusus yang kemungkinan besar membantu operasi spionase.

Penemuan dan laporan datang dari analis di tim Malwarebytes Threat Intelligence, yang memperhatikan upaya khas aktor ancaman untuk menipu kelompok peretasan lain dan lolos tanpa terdeteksi.

Kampanye pertama dari empat kampanye yang dikaitkan dengan APT baru ini dimulai pada Februari 2022, hanya beberapa hari setelah invasi Rusia ke Ukraina, mendistribusikan RAT dengan nama “interactive_map_UA.exe”.

Untuk gelombang kedua, APT punya waktu lebih untuk mempersiapkan sesuatu yang lebih canggih. Mereka menggunakan arsip tar.gz yang seharusnya memperbaiki kerentanan Log4Shell yang dikirim oleh Kementerian Pengembangan Digital, Telekomunikasi, dan Komunikasi Massa Federasi Rusia.

Menurut Malwarebytes, kampanye ini memiliki penargetan yang sempit karena sebagian besar email terkait mencapai karyawan stasiun TV RT, jaringan televisi milik negara Rusia.

Email-email tersebut berisi PDF dengan instruksi untuk menginstal patch Log4j dan bahkan menyertakan saran seperti “jangan membuka atau membalas email yang mencurigakan”.

PDF yang berisi instruksi tentang cara menginstal malware
(Malwarebytes)

Kampanye ketiga memalsukan Rostec, konglomerat pertahanan milik negara Rusia, dan para aktor menggunakan domain yang baru terdaftar seperti “Rostec.digital” dan akun Facebook palsu untuk menyebarkan malware mereka sambil membuatnya tampak seperti berasal dari entitas yang dikenal.

Profil perusahaan palsu di Facebook (Malwarebytes)

Akhirnya, pada April 2022, para peretas China beralih ke dokumen Word yang terinfeksi makro yang berisi iklan pekerjaan palsu oleh Saudi Aramco, sebuah perusahaan minyak dan gas alam besar.

Dokumen tersebut menggunakan injeksi templat jarak jauh untuk mengambil templat jahat dan menjatuhkan skrip VBS ke kandidat yang melamar posisi “Analis Strategi dan Pertumbuhan”.

Rantai infeksi kampanye Aramco (Malwarebytes)

Malwarebytes dapat mengambil sampel muatan yang akan diterapkan pada keempat kampanye dan melaporkan bahwa dalam semua kasus, pada dasarnya DLL yang sama menggunakan nama yang berbeda.

Malware ini menampilkan teknik anti-analisis seperti peratan aliran kontrol melalui OLLVM dan pengaburan string menggunakan pengkodean XOR.

Mengontrol aliran yang merata di malware (Malwarebytes)

Dalam hal perintah yang dapat diminta C2 dari payload, ini termasuk yang berikut:

getcomputername – profilkan host dan tetapkan ID unik
unggah – terima file dari C2 dan tulis ke disk host
mengeksekusi – menjalankan instruksi baris perintah dari C2 dan merespons dengan hasilnya
exit – menghentikan proses malware
ls – mengambil daftar semua file di bawah direktori tertentu dan mengirimkannya ke C2

Perintah unggah malware (Malwarebytes)

Domain C2 yang ditemukan oleh Malwarebytes adalah “windowsipdate[.]com”, “microsoftupdetes[.]com”, dan “mirror-exchange[.]com”.

Temuan menarik lainnya adalah bahwa APT baru menggunakan pembuat makro yang sama untuk gelombang Saudi Aramco seperti TrickBot dan BazarLoader.

Terakhir, ada penyebaran perpustakaan wolfSSL, yang biasanya terlihat secara eksklusif di kampanye Lazarus atau Tropic Trooper.

Sumber: Bleeping Computer

‘Space Pirates’ China meretas perusahaan kedirgantaraan Rusia

by

Grup peretasan China yang sebelumnya tidak dikenal yang dikenal sebagai ‘Space Pirates’ menargetkan perusahaan di industri kedirgantaraan Rusia dengan email phishing untuk menginstal malware baru di sistem mereka.

Kelompok ancaman diyakini telah mulai beroperasi pada tahun 2017, dan meskipun memiliki tautan ke kelompok-kelompok yang dikenal seperti APT41 (Winnti), Mustang Panda, dan APT27, itu dianggap sebagai kelompok baru aktivitas jahat.

Analis ancaman Rusia di Positive Technologies menamai kelompok itu “Space Pirates” karena operasi spionase mereka yang berfokus pada mencuri informasi rahasia dari perusahaan di bidang kedirgantaraan.

Grup Space Pirates APT terlihat menargetkan lembaga pemerintah dan perusahaan yang terlibat dalam layanan TI, kedirgantaraan, dan industri tenaga listrik yang berlokasi di Rusia, Georgia, dan Mongolia.

Analis ancaman pertama kali menemukan tanda-tanda aktivitas Space Pirates musim panas lalu selama respons insiden dan dengan cepat mengonfirmasi bahwa pelaku ancaman menggunakan malware dan infrastruktur yang sama terhadap setidaknya empat entitas domestik lagi sejak 2019.

Dua dari kasus ini menyangkut perusahaan Rusia dengan partisipasi negara, yang berhasil dikompromikan oleh peretas.

Dalam kasus pertama, pelaku ancaman mempertahankan akses mereka ke 20 server selama sepuluh bulan, mencuri lebih dari 1.500 dokumen, detail karyawan, dan data sensitif lainnya.

Dalam kasus kedua, peretas China tetap berada di jaringan perusahaan yang disusupi selama lebih dari setahun, menyedot informasi rahasia dan memasang malware mereka ke 12 node jaringan perusahaan di tiga wilayah berbeda.

Gudang Bajak Laut Luar Angkasa terdiri dari pemuat khusus yang bersembunyi di balik dokumen umpan, pintu belakang yang sedikit dimodifikasi yang telah ada selama bertahun-tahun, malware merek dagang Cina PlugX, dan putaran khusus pintu belakang PcShare.

Selain itu, serangan Space Pirates juga menggunakan ShadowPad, Zupdax, PoisonIvy, dan ReVBShell dalam serangan.

Selain di atas, APT yang baru ditemukan menggunakan tiga alat malware modular yang sebelumnya tidak terdokumentasi, yaitu Deed RAT, BH_A006, dan MyKLoadClient.

Pemuatan kode shell BH_A006 (PT)

Alat kustom lain yang menarik adalah Deed RAT, yang menampilkan metode yang tidak biasa dan cerdas untuk mentransfer kontrol ke shellcode.

Fungsi Deed RAT bergantung pada plugin mana yang diambil dan dimuat. Misalnya, PT telah melihat delapan plugin untuk startup, konfigurasi C2, instalasi, injeksi kode ke dalam proses, interaksi jaringan, manajemen koneksi, pengeditan registri, pemantauan registri, dan sniffing proxy.

Protokol yang didukung untuk komunikasi C2 termasuk TCP, TLS, HTTP, HTTPS, UDP, dan DNS, jadi umumnya ada tingkat keserbagunaan yang tinggi.

Perintah-perintah yang didukung oleh Deed RAT adalah sebagai berikut:

  • Kumpulkan informasi sistem
  • Buat saluran komunikasi terpisah untuk plugin
  • Hapus sendiri

    • Selengkapnya

Analis ancaman percaya bahwa tumpang tindih antara berbagai APT China disebabkan oleh pertukaran alat, fenomena umum bagi peretas di wilayah tersebut.

Menggunakan alat bersama semakin mengaburkan jejak kelompok ancaman yang berbeda dan membuat pekerjaan analis jauh lebih sulit, sehingga APT China memiliki banyak alasan untuk mengikuti praktik ini.

Berbagai hubungan antara APT Cina (PT)

Space Pirates juga terlihat menyebarkan malware khusus mereka di beberapa perusahaan China untuk keuntungan finansial, sehingga kelompok ancaman mungkin memiliki fungsi ganda.

Spionase adalah operasi standar untuk APT China, dan Rusia adalah target valid yang unggul di bidang kedirgantaraan, senjata, teknik listrik, pembuatan kapal, dan teknologi nuklir.

Sumber:Bleeping Computer