Hacker APT27 Tiongkok yang Disponsori Negara Targetkan Sektor Ini di Seluruh Dunia
Ilustrasi
Cyberthreat.id - Perusahaan keamanan siber Palo Alto Networks memperingatkan tentang kampanye peretasan yang sedang berlangsung yang mengorbankan setidaknya sembilan organisasi di seluruh dunia dari sektor-sektor penting, termasuk pertahanan, perawatan kesehatan, energi, teknologi, dan pendidikan.
Untuk menembus jaringan organisasi, aktor ancaman di balik kampanye spionase siber ini mengeksploitasi kerentanan kritis (CVE-2021-40539) dalam solusi manajemen kata sandi perusahaan Zoho yang dikenal sebagai ManageEngine ADSelfService Plus yang memungkinkan mengeksekusi kode dari jarak jauh pada sistem yang belum ditambal tanpa autentikasi.
Serangan yang diamati oleh para peneliti Palo Alto Networks dimulai pada 17 September dengan memindai server yang rentan, sembilan hari setelah Badan Keamanan Siber dan Infrastruktur AS (CISA) memperingatkan pihaknya mendeteksi eksploitasi yang digunakan di alam liar, dan satu hari setelah CISA , FBI, dan Komando Siber Penjaga Pantai Amerika Serikat (CGCYBER) mengeluarkan nasihat bersama.
Upaya eksploitasi dimulai pada 22 September setelah lima hari mengumpulkan info tentang target potensial yang belum menambal sistem mereka.
“Meskipun kami tidak memiliki wawasan tentang totalitas organisasi yang dieksploitasi selama kampanye ini, kami percaya bahwa, secara global, setidaknya sembilan entitas di seluruh industri teknologi, pertahanan, perawatan kesehatan, energi, dan pendidikan telah dikompromikan,” kata para peneliti seperti dilansir Bleeping Computer, Senin (8 November 2021).
"Melalui telemetri global, kami percaya bahwa aktor tersebut menargetkan setidaknya 370 server Zoho ManageEngine di Amerika Serikat saja. Mengingat skalanya, kami menilai bahwa pemindaian ini sebagian besar bersifat tidak pandang bulu karena target berkisar dari sektor pendidikan hingga entitas Departemen Pertahanan."
Mengikuti saran bersama, para peneliti mengamati serangkaian serangan lain yang tidak terkait yang gagal meretas target mereka, mengisyaratkan kelompok peretas lain yang didukung negara atau bermotivasi finansial yang kemungkinan bergabung untuk mengeksploitasi perusahaan yang menggunakan server Zoho.
Setelah berhasil mendapatkan pijakan pada sistem korban mereka menggunakan eksploitasi CVE-2021-40539, pelaku ancaman pertama kali menyebarkan malware dropper yang mengirimkan shell web Godzilla di server yang disusupi untuk mendapatkan dan mempertahankan akses ke jaringan korban, serta malware, termasuk backdoor open-source yang dikenal sebagai NGLite.
Mereka juga menggunakan KdcSponge, malware yang dikenal sebagai pencuri kredensial, yang menghubungkan ke fungsi Windows LSASS API untuk menangkap kredensial (yaitu, nama domain, nama pengguna, dan kata sandi) yang kemudian dikirim ke server yang dikendalikan penyerang.
"Setelah mendapatkan akses ke server awal, para aktor memfokuskan upaya mereka untuk mengumpulkan dan mengekstrak informasi sensitif dari pengontrol domain lokal, seperti file database Active Directory (ntds.dit) dan sarang SISTEM dari registri," kata para peneliti.
"Pada akhirnya, aktor itu tertarik untuk mencuri kredensial, menjaga akses, dan mengumpulkan file sensitif dari jaringan korban untuk dieksfiltrasi."
Serangan terkait dengan peretas APT27 Tiongkok
Meskipun para peneliti sedang bekerja untuk menghubungkan serangan ini dengan kelompok peretasan tertentu, mereka menduga bahwa ini adalah pekerjaan dari kelompok ancaman yang disponsori China yang dikenal sebagai APT27 (juga dilacak sebagai TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger, dan LuckyMouse).
Atribusi parsial didasarkan pada alat dan taktik berbahaya yang digunakan dalam kampanye ini yang cocok dengan aktivitas APT27 sebelumnya sebagai grup peretas yang aktif setidaknya sejak 2010 dan menargetkan sektor industri yang sama (misalnya, pertahanan, teknologi, energi, kedirgantaraan, pemerintah, dan manufaktur) dalam kampanye spionase dunia maya.
Laporan Palo Alto Networks juga mencakup analisis dari mitra Pemerintah AS, termasuk Pusat Kolaborasi Keamanan Siber NSA, sebuah komponen yang dirancang untuk mencegah dan memblokir ancaman siber asing terhadap Sistem Keamanan Nasional (NSS), Departemen Pertahanan, dan Pangkalan Industri Pertahanan (DIB) dengan bantuan mitra industri swasta.
Pada awal Maret, APT27 juga dikaitkan dengan serangan yang mengeksploitasi bug kritis (dijuluki ProxyLogon) untuk mencapai eksekusi kode jarak jauh tanpa otentikasi pada server Microsoft Exchange lokal yang belum ditambal di seluruh dunia.
AS dan sekutunya, termasuk Uni Eropa, Inggris, dan NATO, secara resmi menyalahkan China pada Juni atas kampanye peretasan Microsoft Exchange yang meluas tahun ini.[]
