APT China Gunakan Malware Windows Baru Dalam Kampanye Terbaru

Cyberthreat.id – Peneliti keamanan di Kaspersky mengungkapkan bahwa peretas yang di sponsori China, atau dikenal sebagai TA428 menggunakan malware Windows baru untuk menargetkan backdoor dari entitas organisasi pemerintah di industri pertahanan dari beberapa negara di Eropa Timur.

Dikutip dari Bleeping Computer, dengan menggunakan malware baru ini pelaku ancaman berhasil mengkompromikan jaringan dari lusinan target. Bahkan mereka bisa mengambil kendali atas seluruh infrastruktur TI mereka dengan membajak sistem yang digunakan untuk mengelola solusi keamanan.

“Serangan itu menargetkan pabrik industri, biro desain dan lembaga penelitian, lembaga pemerintah, kementerian dan departemen di beberapa negara Eropa Timur (Belarus, Rusia, dan Ukraina), serta Afghanistan,” kata peneliti Kaspersky.

Peneliti mengatakan, berdasarkan analisis informasi yang diperoleh saat menyelidiki insiden menunjukkan bahwa spionase siber adalah tujuan dari rangkaian serangan ini. Untuk mencapai tujuan itu, mereka menggunakan email spear phishing yang berisi informasi rahasia tentang organisasi yang ditargetkan dan kode berbahaya yang mengeksploitasi kerentanan Microsoft Office CVE-2017-11882 untuk menyebarkan malware PortDoor.

PortDoor juga digunakan dalam serangan spear phishing yang dikoordinasikan oleh peretas yang didukung China pada April 2021 untuk meretas sistem kontraktor pertahanan yang merancang kapal selam untuk Angkatan Laut Rusia.

Pada tahap serangan berikutnya, mereka akan memasang malware tambahan yang ditautkan ke TA428 di masa lalu. Yakni, nccTrojan, Logtu, Cotx, dan DNSep), serta jenis malware yang belum pernah terlihat bernama CotSam. Seperti keluarga lain yang digunakan dalam kampanye ini, pintu belakang baru memungkinkan penyerang mengumpulkan dan mencuri informasi dan file sistem dari sistem yang disusupi.

Untuk mengirimkan CotSam, para penyerang melangkah lebih jauh dengan memasukkan versi Microsoft Word yang rentan bersama dengan muatannya (Microsoft Word 2007 pada sistem 32-bit dan Microsoft Word 2010 pada sistem 64-bit).

Setelah bergerak secara lateral melalui jaringan perusahaan korban mereka menggunakan alat yang mampu memindai jaringan, pencarian kerentanan dan eksploitasi, dan serangan kata sandi seperti utilitas peretasan, mereka memperoleh hak domain dan mengambil file rahasia.

Selanjutnya, mereka mengirimnya ke server command-and-control (C2) dari berbagai negara sebagai arsip ZIP terenkripsi dan dilindungi kata sandi. Namun, semua data yang dicuri ini diteruskan oleh server C2 ke server tahap kedua dengan alamat IP Cina.

Bukti yang menghubungkan kampanye ini dengan TA428 termasuk tumpang tindih yang signifikan dalam taktik, teknik, dan prosedur (TTP) dengan aktivitas grup sebelumnya, eksploitasi yang sama untuk mengirimkan muatan malware awal yang digunakan dalam serangan lain terhadap target Rusia, alat berbahaya yang biasa digunakan oleh pelaku ancaman China, dan terkoneksi ke sistem yang terinfeksi selama jam kerja China.

"Kami percaya bahwa rangkaian serangan yang telah kami identifikasi adalah perpanjangan dari kampanye yang diketahui yang dijelaskan dalam penelitian Cybereason, DrWeb, dan NTTSecurity," tambah Kaspersky.