Grup Peretas China Gunakan Pemuat Symatic Milik Cobalt Strike
illustrasi
Cyberthreat.id – Kelompok APT China yang sebelumnya tidak dikenal dan dijuluki “Earth Longzhi”, menargetkan organisasi di Asia Timur, Asia Tenggara, dan Ukraina, dengan menggunakan pemuat khusus dari Cobalt Strike yang disebut “Symantic”.
Dikutip dari Bleeping Computer, menurut laporan Trend Micro, Earth Longzhi memiliki TTP (teknik, taktik, dan prosedur) yang serupa dengan 'Earth Baku,' keduanya dianggap sebagai subkelompok dari kelompok peretasan yang didukung negara yang dilacak sebagai APT41. Dalam laporan ini, peneliti menggambarkan dua kampanye yang dilakukan oleh Earth Longzhi, dengan yang pertama terjadi antara Mei 2020 dan Februari 2021.
“Selama waktu itu, para peretas menyerang beberapa perusahaan infrastruktur di Taiwan, sebuah bank di China, dan sebuah organisasi pemerintah di Taiwan,” kata peneliti.
Dalam kampanye ini, para peretas menggunakan pemuat Cobalt Strike khusus 'Symatic', yang menampilkan sistem anti-deteksi yang canggih. Termasuk sejumlah fungsi lain seperti menghapus API terkait, mendapatkan konten raw file, mengganti gambar, memunculkan proses baru untuk injeksi proses serta menyamarkannya, dll.
Peneliti mengatkan, lat ini dapat membuka proxy Socks5, melakukan pemindaian kata sandi pada server MS SQL, menonaktifkan perlindungan file Windows, mengubah cap waktu file, memindai port, meluncurkan proses baru, melakukan spoofing RID, menghitung drive, dan menjalankan perintah dengan “SQLExecDirect”.
Sementara itu, kampanye kedua yang diamati oleh Trend Micro berlangsung dari Agustus 2021 hingga Juni 2022, menargetkan perusahaan asuransi dan pengembangan perkotaan di Filipina dan perusahaan penerbangan di Thailand dan Taiwan.
Dalam serangan yang lebih baru ini, Earth Longzhi mengerahkan satu set pemuat Cobalt Strike kustom baru yang menggunakan algoritme dekripsi berbeda dan fitur tambahan untuk kinerja (multi-threading) dan efektivitas (dokumen umpan). Injeksi payload Cobalt Strike ke dalam proses yang baru dibuat yang berjalan di memori tetap sama seperti di Symatic, tidak pernah menyentuh disk untuk menghindari risiko deteksi.
Salah satu varian BigpipeLoader mengikuti rantai pemuatan muatan yang sangat berbeda, menggunakan sideloading DLL (WTSAPI32.dll) pada aplikasi yang sah (wusa.exe) untuk menjalankan loader (chrome.inf) dan menyuntikkan Cobalt Strike ke memori. Setelah Cobalt Strike berjalan pada target, peretas menggunakan versi kustom Mimikatz untuk mencuri kredensial dan menggunakan eksploitasi 'PrintNighmare' dan 'PrintSpoofer' untuk eskalasi hak istimewa.
Untuk menonaktifkan produk keamanan di host, Earth Longzhi menggunakan alat bernama 'ProcBurner,' yang menyalahgunakan driver yang rentan (RTCore64.sys) untuk memodifikasi objek kernel yang diperlukan.
“ProcBurner dirancang untuk menghentikan proses tertentu yang sedang berjalan, sederhananya, ia mencoba mengubah perlindungan proses target dengan secara paksa menambal izin akses di ruang kernel menggunakan RTCore64.sys yang rentan,” kata peneliti.
Sementara itu, driver MSI Afterburner yang sama juga digunakan oleh ransomware BlackByte dalam serangan Bring Your Own Vulnerable Drive (BYOVD) yang menyalahgunakannya untuk melewati lebih dari seribu perlindungan keamanan. ProcBurner pertama kali mendeteksi OS, karena proses patching kernel berubah tergantung pada versinya.
Saat ini, Grup APT semakin mengandalkan malware komoditas dan kerangka kerja serangan seperti Cobalt Strike untuk mengaburkan jejak mereka dan mempersulit atribusi. Namun, peretas canggih masih mengembangkan dan menggunakan alat khusus untuk pemuatan muatan tersembunyi dan untuk melewati perangkat lunak keamanan. Dengan mengikuti taktik ini, Earth Longzhi telah berhasil tetap tidak terdeteksi selama setidaknya 2,5 tahun sekarang, dan setelah laporan Trend Micro ini, mereka cenderung beralih ke taktik baru.
