A previously unknown Chinese APT (advanced persistent threat) hacking group dubbed ‘Earth Longzhi’ targets organizations in East Asia, Southeast Asia, and Ukraine.
Menurut laporan Trend Micro baru, Earth Longzhi memiliki TTP (teknik, taktik, dan prosedur) yang serupa dengan ‘Earth Baku,’ keduanya dianggap sebagai subkelompok dari kelompok peretasan yang didukung negara yang dilacak sebagai APT41.
Diagram sub-grup APT41 (Trend Micro)
Kampanye lama Earth Longzhi
Selama waktu itu, para peretas menyerang beberapa perusahaan infrastruktur di Taiwan, sebuah bank di China, dan sebuah organisasi pemerintah di Taiwan.
Dalam kampanye ini, para peretas menggunakan pemuat Cobalt Strike khusus ‘Symatic’, yang menampilkan sistem anti-deteksi yang canggih termasuk fungsi-fungsi berikut:
- Hapus kait API dari ‘ntdll.dll,’ dapatkan konten file mentah, dan ganti gambar ntdll dalam memori dengan salinan yang tidak dipantau oleh alat keamanan.
- Memunculkan proses baru untuk injeksi proses dan menyamarkan proses induk untuk mengaburkan rantai.
- Suntikkan payload yang didekripsi ke dalam proses yang baru dibuat.
Untuk operasi utamanya, Earth Longzhi menggunakan alat peretas lengkap yang menggabungkan berbagai alat yang tersedia untuk umum dalam satu paket.
Timeline kampanye kedua (Trend Micro)
Salah satu varian BigpipeLoader mengikuti rantai pemuatan muatan yang sangat berbeda, menggunakan sideloading DLL (WTSAPI32.dll) pada aplikasi yang sah (wusa.exe) untuk menjalankan loader (chrome.inf) dan menyuntikkan Cobalt Strike ke memori.
Setelah Cobalt Strike berjalan pada target, peretas menggunakan versi kustom Mimikatz untuk mencuri kredensial dan menggunakan eksploitasi ‘PrintNighmare’ dan ‘PrintSpoofer’ untuk eskalasi hak istimewa.
Khususnya, driver MSI Afterburner yang sama juga digunakan oleh ransomware BlackByte dalam serangan Bring Your Own Vulnerable Drive (BYOVD) yang menyalahgunakannya untuk melewati lebih dari seribu perlindungan keamanan.
ProcBurner pertama kali mendeteksi OS, karena proses patching kernel berubah tergantung pada versinya. Alat ini mendukung rilis berikut:
– Windows 7 SP1
– Windows Server 2008 R2 SP1
– Windows 8.1
– Windows Server 2012 R2
– Windows 10 1607, 1809, 20H2, 21H1
– Windows Server 2018 1809
– Windows 11 21H2, 22449, 22523, 22557
Alat peniada perlindungan kedua, ‘AVBuner,’ juga menyalahgunakan driver yang rentan untuk membatalkan pendaftaran produk keamanan dengan menghapus rutin panggilan balik kernel mereka.
sumber : bleeping computer