Aktor ancaman persisten lanjutan (APT) China yang dilacak sebagai Winnti telah menargetkan setidaknya 13 organisasi yang secara geografis tersebar di AS, Taiwan, India, Vietnam, dan China dengan latar belakang empat kampanye berbeda pada tahun 2021.
“Industri yang ditargetkan termasuk sektor publik, manufaktur, perawatan kesehatan, logistik, perhotelan, pendidikan, serta media dan penerbangan,” kata perusahaan keamanan siber Group-IB dalam sebuah laporan yang dibagikan kepada The Hacker News.
Ini juga termasuk serangan terhadap Air India yang terungkap pada Juni 2021 sebagai bagian dari kampanye dengan nama kode ColunmTK. Tiga kampanye lainnya telah diberi moniker DelayLinkTK, Mute-Pond, dan Gentle-Voice berdasarkan nama domain yang digunakan dalam serangan.
APT41, juga dikenal sebagai Barium, Bronze Atlas, Double Dragon, Wicked Panda, atau Winnti, adalah kelompok ancaman dunia maya Tiongkok yang dikenal melakukan aktivitas spionase yang disponsori negara secara paralel dengan operasi bermotivasi finansial setidaknya sejak 2007.
Menggambarkan tahun 2021 sebagai “tahun yang intens untuk APT41,” serangan yang dilakukan oleh musuh terutama melibatkan penggunaan injeksi SQL pada domain yang ditargetkan sebagai vektor akses awal untuk menyusup ke jaringan korban, diikuti dengan mengirimkan suar Cobalt Strike kustom ke titik akhir.
Namun dalam pendekatan yang agak tidak biasa, Cobalt Strike Beacon diunggah dalam potongan yang lebih kecil dari string yang dikodekan Base64 sebagai taktik kebingungan untuk terbang di bawah radar, sebelum menuliskan seluruh muatan ke file di host yang terinfeksi.
“Anggota APT41 biasanya menggunakan phishing, mengeksploitasi berbagai kerentanan (termasuk Proxylogon), dan melakukan serangan lubang air atau rantai pasokan untuk awalnya membahayakan korban mereka,” kata para peneliti.
Tindakan lain yang dilakukan pasca-eksploitasi berkisar dari membangun kegigihan hingga pencurian kredensial dan melakukan pengintaian melalui teknik living-off-the-land (LotL) untuk mengumpulkan informasi tentang lingkungan yang dikompromikan dan bergerak secara lateral melintasi jaringan.
Perusahaan yang bermarkas di Singapura itu mengatakan telah mengidentifikasi 106 server Cobalt Strike unik yang secara eksklusif digunakan oleh APT41 antara awal 2020 dan akhir 2021 untuk perintah-dan-kontrol. Sebagian besar server tidak lagi aktif.
Temuan ini menandai penyalahgunaan berkelanjutan dari kerangka simulasi musuh yang sah oleh aktor ancaman yang berbeda untuk aktivitas berbahaya pasca-intrusi.
“Di masa lalu, alat ini dihargai oleh geng penjahat dunia maya yang menargetkan bank, sementara hari ini populer di antara berbagai pelaku ancaman terlepas dari motivasi mereka, termasuk operator ransomware yang terkenal,” Analis Ancaman Grup-IB, Nikita Rostovtsev, mengatakan.
Sumber: The Hacker News
