Badan Keamanan Siber dan Intelijen AS Ungkap Cara Peretas Targetkan Industri Pertahanan
illustrasi
Cyberthreat.id – FBI, CISA, dan NSA mengungkapkan bahwa beberapa kelompok APT yang disponsori negara menargetkan jaringan perusahaan organisasi Sektor Pangkalan Industri Pertahanan (DIB) sebagai bagian dari kampanye spionase siber.
“Aktor ancaman menggunakan toolkit open-source yang disebut Impacket untuk mendapatkan pijakan mereka dalam lingkungan dan lebih lanjut membahayakan jaringan, dan juga menggunakan alat eksfiltrasi data khusus, CovalentStealer, untuk mencuri data sensitif korban,” ungkap Lembaga keamanan dan intelijen tersebut dalam laporan sesuai yang dikutip dari The Hacker.
Dalam laporan tersebut, lembaga-lembaga itu mengatakan aktor peretasan kemungkinan memiliki akses jangka panjang ke lingkungan yang dikompromikan. Temuan ini merupakan hasil dari upaya respons insiden CISA yang bekerja sama dengan perusahaan keamanan pihak ketiga tepercaya dari November 2021 hingga Januari 2022. Itu tidak mengaitkan penyusupan dengan aktor atau kelompok ancaman yang diketahui.
Vektor infeksi awal yang digunakan untuk menembus jaringan juga tidak diketahui, meskipun beberapa aktor APT dikatakan telah memperoleh tempat berpijak digital ke Microsoft Exchange Server target pada pertengahan Januari 2021.
Kegiatan pasca-eksploitasi berikutnya pada bulan Februari memerlukan campuran pengintaian dan upaya pengumpulan data, yang terakhir menghasilkan penggalian informasi sensitif terkait kontrak. Juga digunakan selama fase ini adalah alat Impacket untuk membangun ketekunan dan memfasilitasi gerakan lateral.
Sebulan kemudian, aktor APT mengeksploitasi kelemahan ProxyLogon di Microsoft Exchange Server untuk menginstal 17 web shell China Chopper dan HyperBro, sebuah pintu belakang yang secara eksklusif digunakan oleh kelompok ancaman China bernama Lucky Mouse (alias APT27, Bronze Union, Budworm, atau Utusan Panda).
Para penyusup, dari akhir Juli hingga pertengahan Oktober 2021, selanjutnya menggunakan jenis malware khusus yang disebut CovalentStealer terhadap entitas yang tidak disebutkan namanya untuk menyedot dokumen yang disimpan di file yang dibagikan dan mengunggahnya ke folder cloud Microsoft OneDrive.
Organisasi disarankan untuk memantau log untuk koneksi dari VPN yang tidak biasa, penggunaan akun yang mencurigakan, penggunaan baris perintah yang tidak wajar dan diketahui berbahaya, dan perubahan tidak sah pada akun pengguna.
