Peretas China Menargetkan Lembaga Pemerintah dan Organisasi Pertahanan
illustrasi
Cyberthreat.id – Peneliti keamanan di Symantec mengungkapkan bahwa aktor ancaman spionase siber yang dilacak sebagai Billbug (alias Thrip, Lotus Blossom, Spring Dragon) telah menjalankan kampanye yang menargetkan lembaga pemerintah, dan organisasi pertahanan di beberapa negara di Asia.
Dikutip dari Bleeping Computer, serangan terbaru diamati setidaknya sejak Maret tetapi aktor tersebut telah beroperasi secara diam-diam selama lebih dari satu dekade dan diyakini sebagai kelompok yang disponsori negara yang bekerja untuk China.
“Operasi ini didokumentasikan oleh beberapa perusahaan keamanan siber selama enam tahun terakhir,” kata peneliti tersebut.
Peneliti mengatakan dalam sebuah laporan, bahwa illbug, yang telah mereka lacak sejak 2018, juga menargetkan perusahaan otoritas sertifikat, yang akan memungkinkan mereka untuk menyebarkan malware yang ditandatangani untuk membuatnya lebih sulit untuk mendeteksi atau mendekripsi lalu lintas HTTPS.
Hingga kini, Symantec belum menentukan bagaimana Billbug mendapatkan akses awal ke jaringan target, tetapi mereka telah melihat bukti dari hal ini terjadi dengan mengeksploitasi aplikasi yang menghadap publik dengan kerentanan yang diketahui.
Seperti dalam kampanye sebelumnya yang dikaitkan dengan Billbug, aktor menggabungkan alat yang sudah ada di sistem target, utilitas yang tersedia untuk umum, dan malware khusus. Diantaranya Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil, dan Port Scanner.
Alat-alat ini membantu peretas berbaur dengan aktivitas sehari-hari yang tidak berbahaya, menghindari jejak log yang mencurigakan atau meningkatkan alarm pada alat keamanan, dan secara umum mempersulit upaya atribusi.
Alat opensource yang lebih jarang digunakan yang terlihat dalam operasi Billbug baru-baru ini adalah Stowaway, alat proxy multi-level berbasis Go yang membantu pentester melewati pembatasan akses jaringan.
Symantec dapat menyematkan serangan baru-baru ini ke Billbug karena pelaku ancaman menggunakan dua pintu belakang khusus yang terlihat di beberapa operasi mereka sebelumnya: Hannotog dan Sagerunex. Beberapa fungsi dari pintu belakang Hannotog termasuk mengubah pengaturan firewall untuk mengaktifkan semua lalu lintas, membangun kegigihan pada mesin yang disusupi, mengunggah data terenkripsi, menjalankan perintah CMD, dan mengunduh file ke perangkat.
Sagerunex dijatuhkan oleh Hannotog dan menyuntikkan dirinya dalam proses "explorer.exe". Itu kemudian menulis log pada file temp lokal yang dienkripsi menggunakan algoritma AES (256-bit). Konfigurasi dan status pintu belakang juga disimpan secara lokal dan dienkripsi dengan RC4, dengan kunci untuk keduanya di-hardcode ke dalam malware.
Sagerunex terhubung ke server perintah dan perintah melalui HTTPS untuk mengirim daftar proxy dan file aktif, dan menerima muatan dan perintah shell dari operator. Selain itu, ia dapat menjalankan program dan DLL menggunakan "runexe" dan "rundll”. Billbug terus menggunakan pintu belakang khusus yang sama dengan sedikit perubahan selama beberapa tahun terakhir.
