Cyberthreat.id – Perusahaan keamanan siber Symantec mendeteksi serangan siber dari peretas China yang menargetkan perusahaan keuangan Taiwan.

Dilacak sebagai Antlion, geng peretas itu diduga telah aktif menyerang sejak 2011 dan terkait dengan kepentingan pemerintah China, Symantec melaporkan, dikutip dari Security Week, Jumat (4 Februari 2022).

Serangan ke perusahaan keuangan itu, menurut Symantec, terjadi antara 2020 hingga 2021 atau sekitar 18 bulan. Peretas menggunakan backdoor kustom yang oleh peneliti disebut “xPack” untuk menjalankan spionase siber di jaringan korban.

‎Selain mendukung eksekusi jarak jauh perintah WMI, backdoor juga menyertakan alat peretasan (exploit) ciptaan Badan Keamanan Nasinal AS,  “EternalBlue”.

xPack juga memungkinkan penyerang berinteraksi dengan Server Message Block (SMB) dan menjelajahi web, bertindak seperti proxy untuk membantu penyerang menyembunyikan alamat IP mereka.‎

‎"Tujuan dari kampanye ini tampaknya adalah spionase, karena kami melihat para penyerang mengekstraksi dan mengelola untuk eksfiltrasi dari jaringan yang terinfeksi," kata Symantec.‎

Geng ‎Antlion sejauh ini terlihat menginfeksi jaringan tiga organisasi di Taiwan, termasuk dua entitas keuangan dan perusahaan manufaktur. Para peretas melakukan aktivitas serupa di setiap jaringan, berusaha memanen kredensial dan menggunakan xPack.‎

‎Symantec menemukan bukti bahwa penyerang bertahan hingga 250 hari di salah satu jaringan yang diretas dan sekitar 175 hari di jaringan lain.

Mereka juga menemukan berbagai alat off-the-shelf, seperti LSASS, PowerShell, ProcDump, PsExec, dan WMIC.‎

‎Selain itu, peretas kategori advanced persistent threat (APT) ini menyalahgunakan alat AnyDesk yang sah untuk akses jarak jauh ke salah satu jaringan yang diretas dan terlihat menggunakan berbagai exploit untuk mendapatkan hak istimewa.

‎”Penargetan Taiwan mungkin tidak mengejutkan mengingat kita tahu kelompok-kelompok yang didukung negara China cenderung tertarik pada organisasi di wilayah itu," kata Symantec.‎[]