Peretas China Menargetkan Perusahaan Telekomunikasi Timur Tengah Dalam Serangan Terbaru
illustrasi
Cyberthreat.id – Peneliti keamanan dari Bitdefender mengungkapkan bahwa perusahaan telekomunikasi di Timur Tengah saat ini menjadi target serangan siber oleh BackdoorDiplomacy, kelompok APT yang terkait dengan pemerintah China.
Dikutip dari The Hacker News, aktivitas spionase, ini telah dimulai pada 19 Agustus 2021 melalui keberhasilan eksploitasi kelemahan ProxyShell di Microsoft Exchange Server. Kompromi awal memanfaatkan binari yang rentan terhadap teknik pemuatan samping, diikuti dengan menggunakan campuran alat yang sah dan dipesan lebih dahulu untuk melakukan pengintaian, mengumpulkan data, bergerak secara lateral melintasi lingkungan, dan menghindari deteksi.
“File atribut dari alat berbahaya menunjukkan bahwa alat pertama yang digunakan oleh pelaku ancaman adalah alat proksi NPS dan pintu belakang IRAFAU,” kata peneliti Bitdefender.
Peneliti mengatakan, BackdoorDiplomacy pertama kali didokumentasikan oleh ESET pada Juni 2021, dengan gangguan yang terutama ditujukan pada entitas diplomatik dan perusahaan telekomunikasi di Afrika dan Timur Tengah untuk menyebarkan Quarian (alias Turian atau Whitebird).
Motif spionase dari serangan tersebut dibuktikan dengan penggunaan keylogger dan skrip PowerShell yang dirancang untuk mengumpulkan konten email. IRAFAU, yang merupakan komponen malware pertama yang dikirimkan setelah mendapatkan pijakan, digunakan untuk melakukan penemuan informasi dan pergerakan lateral.
“Serangan ini difasilitasi dengan mengunduh dan mengunggah file dari dan ke server perintah-dan-kontrol (C2), meluncurkan shell jarak jauh, dan mengeksekusi file arbitrer,” kata peneliti.
Backdoor kedua yang digunakan dalam operasi adalah versi Quarian yang diperbarui, yang hadir dengan serangkaian kemampuan yang lebih luas untuk mengontrol host yang disusupi. Backdoor ini juga digunakan adalah alat yang dijuluki Impersoni-fake-ator yang disematkan ke dalam utilitas yang sah seperti DebugView dan Putty dan direkayasa untuk menangkap metadata sistem dan mengeksekusi muatan yang didekripsi yang diterima dari server C2.
Intrusi selanjutnya ditandai dengan penggunaan perangkat lunak open source seperti ToRat, alat administrasi jarak jauh Golang, dan AsyncRAT, yang terakhir kemungkinan dijatuhkan melalui Quarian. Atribusi serangan Bitdefender ke BackdoorDiplomacy berasal dari tumpang tindih infrastruktur C2 yang diidentifikasi digunakan oleh grup dalam kampanye sebelumnya.
