APT15

Microsoft telah menguasai sejumlah situs web yang digunakan oleh kelompok peretas yang didukung pemerintah China untuk menargetkan organisasi di 29 negara, termasuk AS.

Unit Kejahatan Digital Microsoft (DCI) mengatakan pada hari Senin bahwa pengadilan federal di Virginia telah memberikan perintah yang memungkinkan perusahaan untuk mengendalikan situs web dan mengarahkan lalu lintas ke server Microsoft.

Situs web jahat ini digunakan oleh kelompok peretas yang disponsori negara yang dikenal sebagai Nickel, atau APT15, untuk mengumpulkan intelijen dari lembaga pemerintah, lembaga think tank, dan organisasi hak asasi manusia, menurut perusahaan tersebut.

Microsoft tidak menyebutkan target Nickel, tetapi mengatakan kelompok itu menargetkan organisasi di AS dan 28 negara lainnya. Ia menambahkan bahwa “sering ada korelasi antara target Nickel dan kepentingan geopolitik China.”

Selain AS, Nikel juga menargetkan organisasi di Argentina, Barbados, Bosnia dan Herzegovina, Brasil, Bulgaria, Chili, Kolombia, Kroasia, Republik Ceko, Republik Dominika, Ekuador, El Salvador, Prancis, Guatemala, Honduras, Hongaria, Italia, Jamaika, Mali, Meksiko, Montenegro, Panama, Peru, Portugal, Swiss, Trinidad dan Tobago, Inggris dan Venezuela.

Microsoft, yang telah melacak Nickel sejak 2016 dan sebelumnya menggambarkannya sebagai salah satu kelompok peretasan “paling aktif” yang menargetkan lembaga pemerintah, mengatakan pihaknya mengamati serangan “sangat canggih” yang memasang malware yang sulit dideteksi yang memiliki kemampuan intrusi, pengawasan, dan pencurian data.

Selengkapnya: Tech Crunch

Microsoft menyita lusinan situs berbahaya yang digunakan oleh kelompok peretas berbasis di Nikel China yang menargetkan organisasi di AS dan 28 negara lain di seluruh dunia.

Aktor ancaman Nikel (juga dilacak sebagai KE3CHANG, APT15, Vixen Panda, Royal APT, dan Playful Dragon) menyusup ke server organisasi pemerintah, entitas diplomatik, dan organisasi non-pemerintah (LSM) di 29 negara, terutama dari Eropa dan Amerika Latin.

“Kami yakin serangan ini sebagian besar digunakan untuk pengumpulan intelijen dari lembaga pemerintah, think tank, dan organisasi hak asasi manusia.”

Microsoft dapat menghapus infrastruktur Nikel setelah Pengadilan Distrik AS untuk Distrik Timur Virginia memberikan perintah menyusul pengaduan yang diajukan pada 2 Desember.

Menurut perintah pengadilan domain dialihkan untuk mengamankan server dengan mengubah server nama resmi menjadi NS104a.microsoftintemetsafety.net dan NS104b.microsoftintemetsafety.net.”

Unit Kejahatan Digital (DCU) Microsoft pertama kali melihat kelompok ancaman di balik domain berbahaya ini pada 2016. Mandiant melacak mereka sebagai Ke3chang dan mengatakan mereka telah aktif setidaknya sejak 2010.

Sejak 2019, itu diamati menargetkan entitas pemerintah di seluruh Amerika Latin dan Eropa oleh Microsoft’s Threat Intelligence Center (MSTIC) dan Digital Security Unit (DSU).

Tujuan akhir Nickel adalah untuk menyebarkan malware di server yang disusupi yang memungkinkan operatornya memantau aktivitas korban mereka, serta mengumpulkan data dan mengekstraknya ke server di bawah kendali mereka.

Peretas tersebut menggunakan pemasok VPN (jaringan pribadi virtual) pihak ketiga yang disusupi, kredensial yang dicuri dalam kampanye spear-phishing, dan memanfaatkan penargetan Exchange Server dan server SharePoint lokal yang belum ditambal untuk meretas ke jaringan target mereka.

“Sampai saat ini, dalam 24 tuntutan hukum kami telah menghapus lebih dari 10.000 situs web jahat yang digunakan oleh penjahat dunia maya dan hampir 600 situs yang digunakan oleh aktor negara-bangsa,” tambah Burt.

“Kami juga telah berhasil memblokir pendaftaran 600.000 situs untuk mendahului pelaku kriminal yang berencana menggunakannya secara jahat di masa depan.”

Pada Maret 2020, perusahaan mengambil alih infrastruktur berbasis di AS yang digunakan botnet spam Necurs untuk mendistribusikan muatan malware dan menginfeksi jutaan komputer.

Menurut Microsoft, sebelum diturunkan, Necurs mengirim sekitar 3,8 juta pesan spam ke lebih dari 40,6 juta target hanya dalam 58 hari.

Redmond juga menggugat kelompok spionase cyber Thallium yang terkait dengan Korea Utara pada Desember 2019 dan menyita 50 domain bagian dari infrastruktur domain berbahaya kelompok peretasan.

Unit Kejahatan Digital Microsoft juga mengganggu aktor ancaman APT35 (alias Charming Kitten, Phosphorus, atau Tim Keamanan Ajax) yang didukung Iran pada Desember 2019 setelah mengambil alih server yang digunakan dalam serangan sibernya.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft merebut kendali situs web yang digunakan oleh peretas yang didukung China

Microsoft menyita situs yang digunakan oleh peretas negara bagian APT15 China

APT15

Cookies Settings