Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for APT41

APT41

Grup Peretasan Baru Menggunakan Pemuat Cobalt Strike ‘Symatic’ Khusus

by

A previously unknown Chinese APT (advanced persistent threat) hacking group dubbed ‘Earth Longzhi’ targets organizations in East Asia, Southeast Asia, and Ukraine.

Menurut laporan Trend Micro baru, Earth Longzhi memiliki TTP (teknik, taktik, dan prosedur) yang serupa dengan ‘Earth Baku,’ keduanya dianggap sebagai subkelompok dari kelompok peretasan yang didukung negara yang dilacak sebagai APT41.


Diagram sub-grup APT41 (Trend Micro)

Kampanye lama Earth Longzhi
Selama waktu itu, para peretas menyerang beberapa perusahaan infrastruktur di Taiwan, sebuah bank di China, dan sebuah organisasi pemerintah di Taiwan.

Dalam kampanye ini, para peretas menggunakan pemuat Cobalt Strike khusus ‘Symatic’, yang menampilkan sistem anti-deteksi yang canggih termasuk fungsi-fungsi berikut:

  • Hapus kait API dari ‘ntdll.dll,’ dapatkan konten file mentah, dan ganti gambar ntdll dalam memori dengan salinan yang tidak dipantau oleh alat keamanan.
  • Memunculkan proses baru untuk injeksi proses dan menyamarkan proses induk untuk mengaburkan rantai.
  • Suntikkan payload yang didekripsi ke dalam proses yang baru dibuat.

Untuk operasi utamanya, Earth Longzhi menggunakan alat peretas lengkap yang menggabungkan berbagai alat yang tersedia untuk umum dalam satu paket.


Timeline kampanye kedua (Trend Micro)

Salah satu varian BigpipeLoader mengikuti rantai pemuatan muatan yang sangat berbeda, menggunakan sideloading DLL (WTSAPI32.dll) pada aplikasi yang sah (wusa.exe) untuk menjalankan loader (chrome.inf) dan menyuntikkan Cobalt Strike ke memori.

Setelah Cobalt Strike berjalan pada target, peretas menggunakan versi kustom Mimikatz untuk mencuri kredensial dan menggunakan eksploitasi ‘PrintNighmare’ dan ‘PrintSpoofer’ untuk eskalasi hak istimewa.

Khususnya, driver MSI Afterburner yang sama juga digunakan oleh ransomware BlackByte dalam serangan Bring Your Own Vulnerable Drive (BYOVD) yang menyalahgunakannya untuk melewati lebih dari seribu perlindungan keamanan.

ProcBurner pertama kali mendeteksi OS, karena proses patching kernel berubah tergantung pada versinya. Alat ini mendukung rilis berikut:

– Windows 7 SP1
– Windows Server 2008 R2 SP1
– Windows 8.1
– Windows Server 2012 R2
– Windows 10 1607, 1809, 20H2, 21H1
– Windows Server 2018 1809
– Windows 11 21H2, 22449, 22523, 22557

Alat peniada perlindungan kedua, ‘AVBuner,’ juga menyalahgunakan driver yang rentan untuk membatalkan pendaftaran produk keamanan dengan menghapus rutin panggilan balik kernel mereka.

sumber : bleeping computer

Peretas mengkompromikan jaringan agen pemerintah Hong Kong selama setahun

by

Para peneliti di Symantec telah menemukan serangan siber yang dikaitkan dengan aktor spionase terkait China APT41 (alias Winnti) yang melanggar lembaga pemerintah di Hong Kong dan tidak terdeteksi selama satu tahun dalam beberapa kasus.

Pelaku ancaman telah menggunakan malware khusus yang disebut Spyder Loader, yang sebelumnya dikaitkan dengan grup.

Pada Mei 2022, para peneliti di Cybereason menemukan ‘Operasi CuckooBees’, yang telah berlangsung sejak 2019 dengan fokus pada perusahaan teknologi tinggi dan manufaktur di Amerika Utara, Asia Timur, dan Eropa Barat.

Laporan Symantec mencatat bahwa ada tanda-tanda bahwa aktivitas Hong Kong yang baru ditemukan adalah bagian dari operasi yang sama, dan target Winnti adalah lembaga pemerintah di wilayah administrasi khusus.

Dalam Operasi CuckooBees, Winnti menggunakan versi baru dari pintu belakang Spyder Loader. Laporan Symantec menunjukkan bahwa peretas terus mengembangkan malware, menyebarkan beberapa varian pada target, semuanya dengan fungsi yang sama.

Beberapa kesamaan yang ditemukan Symantec jika dibandingkan dengan versi yang dianalisis oleh Cybereason antara lain:

  • menggunakan perpustakaan CryptoPP C++
  • penyalahgunaan rundll32.exe untuk eksekusi pemuat malware
  • dikompilasi sebagai salinan modifikasi DLL 64-bit dari SQLite3 DLL untuk mengelola database SQLite, sqlite3.dll, dengan ekspor berbahaya (sqlite3_extension_init)

Digunakan pada tahap infeksi awal, Spyder Loader memuat gumpalan terenkripsi AES yang membuat muatan tahap berikutnya, “wlbsctrl.dll.”

Analis Symantec juga mengamati penyebaran ekstraktor kata sandi Mimikatz dalam kampanye terbaru, yang memungkinkan pelaku ancaman untuk menggali lebih dalam ke jaringan korban.

Selain itu, para peneliti melihat “ZLib DLL trojan yang memiliki beberapa ekspor berbahaya, salah satunya tampaknya menunggu komunikasi dari server perintah-dan-kontrol, sementara yang lain akan memuat muatan dari nama file yang disediakan di baris perintah. .”

Meskipun Symantec tidak dapat mengambil muatan terakhir, tampaknya tujuan dalam kampanye terbaru APT41 adalah untuk mengumpulkan intelijen dari entitas kunci di Hong Kong.

Sumber: Bleeping Computer

Peretas APT41 yang Didukung China Menargetkan 13 Organisasi di Seluruh Dunia Tahun Lalu

by

Aktor ancaman persisten lanjutan (APT) China yang dilacak sebagai Winnti telah menargetkan setidaknya 13 organisasi yang secara geografis tersebar di AS, Taiwan, India, Vietnam, dan China dengan latar belakang empat kampanye berbeda pada tahun 2021.

“Industri yang ditargetkan termasuk sektor publik, manufaktur, perawatan kesehatan, logistik, perhotelan, pendidikan, serta media dan penerbangan,” kata perusahaan keamanan siber Group-IB dalam sebuah laporan yang dibagikan kepada The Hacker News.

Ini juga termasuk serangan terhadap Air India yang terungkap pada Juni 2021 sebagai bagian dari kampanye dengan nama kode ColunmTK. Tiga kampanye lainnya telah diberi moniker DelayLinkTK, Mute-Pond, dan Gentle-Voice berdasarkan nama domain yang digunakan dalam serangan.

APT41, juga dikenal sebagai Barium, Bronze Atlas, Double Dragon, Wicked Panda, atau Winnti, adalah kelompok ancaman dunia maya Tiongkok yang dikenal melakukan aktivitas spionase yang disponsori negara secara paralel dengan operasi bermotivasi finansial setidaknya sejak 2007.

Menggambarkan tahun 2021 sebagai “tahun yang intens untuk APT41,” serangan yang dilakukan oleh musuh terutama melibatkan penggunaan injeksi SQL pada domain yang ditargetkan sebagai vektor akses awal untuk menyusup ke jaringan korban, diikuti dengan mengirimkan suar Cobalt Strike kustom ke titik akhir.

Namun dalam pendekatan yang agak tidak biasa, Cobalt Strike Beacon diunggah dalam potongan yang lebih kecil dari string yang dikodekan Base64 sebagai taktik kebingungan untuk terbang di bawah radar, sebelum menuliskan seluruh muatan ke file di host yang terinfeksi.

“Anggota APT41 biasanya menggunakan phishing, mengeksploitasi berbagai kerentanan (termasuk Proxylogon), dan melakukan serangan lubang air atau rantai pasokan untuk awalnya membahayakan korban mereka,” kata para peneliti.

Tindakan lain yang dilakukan pasca-eksploitasi berkisar dari membangun kegigihan hingga pencurian kredensial dan melakukan pengintaian melalui teknik living-off-the-land (LotL) untuk mengumpulkan informasi tentang lingkungan yang dikompromikan dan bergerak secara lateral melintasi jaringan.

Perusahaan yang bermarkas di Singapura itu mengatakan telah mengidentifikasi 106 server Cobalt Strike unik yang secara eksklusif digunakan oleh APT41 antara awal 2020 dan akhir 2021 untuk perintah-dan-kontrol. Sebagian besar server tidak lagi aktif.

Temuan ini menandai penyalahgunaan berkelanjutan dari kerangka simulasi musuh yang sah oleh aktor ancaman yang berbeda untuk aktivitas berbahaya pasca-intrusi.

“Di masa lalu, alat ini dihargai oleh geng penjahat dunia maya yang menargetkan bank, sementara hari ini populer di antara berbagai pelaku ancaman terlepas dari motivasi mereka, termasuk operator ransomware yang terkenal,” Analis Ancaman Grup-IB, Nikita Rostovtsev, mengatakan.

Sumber: The Hacker News

Peretas mencuri data yang tidak terdeteksi dari AS dan organisasi Eropa sejak 2019

by

Kelompok peretas China yang dikenal sebagai ‘Winnti’ telah secara diam-diam mencuri aset kekayaan intelektual seperti paten, hak cipta, merek dagang, dan data perusahaan lainnya – dan tetap tidak terdeteksi oleh peneliti keamanan serta target sejak 2019.

Winnti, juga dilacak sebagai APT41, adalah kelompok spionase dunia maya yang canggih dan sulit dipahami yang diyakini didukung oleh negara Tiongkok dan beroperasi atas nama kepentingan nasionalnya.

Kampanye kejahatan dunia maya yang ditemukan telah berlangsung setidaknya sejak 2019 dan menargetkan perusahaan teknologi dan manufaktur di Asia Timur, Eropa Barat, dan Amerika Utara.

Operasi kriminal ini dikenal sebagai ‘Operasi CuckooBees’ dan ditemukan oleh analis di Cybereason, yang mengungkapkan malware baru yang disebarkan oleh kelompok peretas terkenal, mekanisme yang mereka manfaatkan untuk penyusupan, dan metode pengiriman muatan rumit yang mereka gunakan.

Yang menjadi highlight dalam laporan Cybereason adalah malware Winnti baru yang dijuluki “DEPLOYLOG” dan metode penyalahgunaan mekanisme Windows CLFS (Common Log File System) untuk penyembunyian muatan.

Malware DEPLOYLOG, yang belum didokumentasikan sebelumnya, adalah DLL 64-bit (disamarkan sebagai “dbghelp.dll”) yang mengekstrak dan mengeksekusi payload terakhir Winnti, rootkit WINNKIT, dan kemudian membuat dua saluran komunikasi dengan remote C2 dan rootkit tingkat kernel.

Cybereason percaya bahwa karena kompleksitas, tersembunyi, dan kecanggihan Operasi CuckooBees, kemungkinan besar Winnti telah menginfeksi lebih banyak sistem perusahaan daripada yang dapat mereka verifikasi.

Selengkapnya: Bleeping Computer

Peneliti Mengungkap Malware China Tidak Terdokumentasi yang Digunakan dalam Serangan Terbaru

by

Peneliti keamanan siber telah mengungkapkan serangkaian serangan oleh aktor ancaman asal China yang menargetkan organisasi di Rusia dan Hong Kong dengan malware – termasuk backdoor yang sebelumnya tidak berdokumen.

Mengaitkan kampanye ke Winnti (atau APT41), Positive Technologies menetapkan tanggal serangan pertama hingga 12 Mei 2020, ketika APT menggunakan sortcuts LNK untuk mengekstrak dan menjalankan muatan malware. Serangan kedua yang terdeteksi pada tanggal 30 Mei menggunakan file arsip RAR berbahaya yang terdiri dari sortcuts ke dua dokumen PDF umpan yang diklaim sebagai riwayat hidup dan sertifikat IELTS.

Sortcuts itu sendiri berisi tautan ke halaman yang dihosting di Zeplin, alat kolaborasi yang sah untuk perancang dan pengembang yang digunakan untuk mengambil malware tahap akhir yang, pada gilirannya, menyertakan shellcode loader (“svchost.exe”) dan backdoor yang disebut Crosswalk (“3t54dE3r.tmp”).

selengkapnya : TheHackerNews

Amerika menuntut 5 peretas China, 2 kaki tangannya dengan kampanye serangan siber yang luas

by

Jaksa federal pada hari Rabu mengumumkan dakwaan terhadap lima peretas China yang dituduh melanggar lebih dari 100 perusahaan, lembaga kebijakan, universitas, dan lembaga pemerintah di seluruh dunia.

Departemen Kehakiman menguraikan skema besar-besaran yang mencuri kode sumber dan data bisnis utama lainnya dari perusahaan telekomunikasi dan energi, penyedia medis, perusahaan pengembangan perangkat lunak, organisasi nirlaba, dan perusahaan video game.

Para peretas menggunakan email spearphishing, memalsukan sertifikat digital, dan mengeksploitasi kerentanan terkenal untuk menembus target mereka. Dalam beberapa kasus, mereka meretas perusahaan yang menyediakan layanan ke perusahaan lain dan menggunakan akses tersebut untuk masuk ke jaringan pelanggan korban mereka.

Dua terdakwa, Zhang Haoran dan Tan Dailin, diduga mulai meretas perusahaan video game pada November 2014 dan memodifikasi sistem game untuk mengisi akun mereka dengan barang digital.

Tiga peretas lainnya, Jiang Lizhi, Qian Chuan dan Fu Qiang, diduga melakukan kampanye penyusupan yang lebih luas ke dalam bisnis, universitas, dan kelompok hak asasi manusia melalui perusahaan mereka, Chengdu 404.

Jiang dan Qiang diduga berpartisipasi dalam aktivitas peretasan yang oleh para peneliti dikaitkan dengan grup bernama APT41 dan “Wicked Panda”.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Politico

Peretas Cina Menyerang Layanan Kesehatan, Militer, Jaringan Minyak Asing saat Coronavirus Mengahantam China

by

FireEye, sebuah perusahaan keamanan siber AS, mengatakan bahwa pihaknya telah melihat lonjakan aktivitas yang tampaknya berasal dari kelompok peretasan Cina bernama APT41. Serangan sedang dikerahkan terhadap perusahaan-perusahaan di AS, Kanada, Inggris dan beberapa negara lain, yang tidak lazim dari strategi khas peretas Cina untuk berfokus pada beberapa target tertentu.

 

Menurut laporan FireEye, kelompok ini mengeksploitasi kelemahan perangkat lunak dalam aplikasi dan perangkat keras yang dikembangkan oleh Cisco, Citrix dan yang lainnya untuk mendapatkan akses ke jaringan perusahaan sasaran dan mengunduh file melalui FTP, di antara strategi lainnya.

 

Menurut perusahaan, serangan dimulai pada 20 Januari, menurun selama perayaan Tahun Baru Cina dan tindakan karantina COVID-19 dan sekarang kembali dalam skala penuh, mempengaruhi 75 pelanggan FireEye.

Cisco dan Citrix mengatakan kepada Reuters bahwa mereka telah menambal kerentanan yang dieksploitasi oleh APT41. Citrix juga berkoordinasi dengan FireEye untuk menemukan “potential compromises.” Reuters juga mendapat konfirmasi oleh Dell Technologies, yang menyatakan bahwa perusahaan itu juga melihat peningkatan aktivitas dari peretas China “selama beberapa minggu terakhir.”

 

Peningkatan remote working yang belum pernah terjadi sebelumnya selama pandemi coronavirus ini juga telah memperlihatkan peningkatan serangan siber, terutama serangan phishing yang menargetkan individu dengan tautan palsu dan email, menurut perusahaan cybersecurity CrowdStrike. Penyerang datang dari, tetapi tidak terbatas pada sumber di China.

 

Berita selengkapnya dapat dibaca pada tautan dibawah ini;

Source: End Gadget | Defenseone