Cyberthreat.id – Kelompok peretas Winnti China, juga dikenal sebagai 'APT41' atau 'Wicked Spider', menargetkan setidaknya 80 organisasi tahun lalu dan berhasil menembus setidaknya tiga belas jaringan.

Melansir Bleeping Computer, Ini menurut para peneliti Group-IB, yang telah mengikuti kegiatan Wintti dan menggambarkan tahun 2021 sebagai salah satu tahun paling "intens" bagi para peretas China.

Para peneliti mengatakan bahwa Wintti menargetkan perusahaan perhotelan dan pengembangan perangkat lunak di AS, sebuah perusahaan penerbangan di India, pemerintah, manufaktur, dan entitas media di Taiwan, dan bahkan vendor perangkat lunak di China.

Untuk memfasilitasi kampanye mereka, Winnti juga membobol situs universitas di Inggris, Irlandia, dan Hong Kong, portal militer Thailand, dan berbagai situs milik pemerintah India.

Sebagai bagian dari kampanye ini, Winnti menggunakan berbagai metode dalam operasi jahat mereka, termasuk phishing, watering hole, serangan rantai pasokan, dan banyak injeksi SQL.

Untuk menemukan kerentanan dalam jaringan yang ditargetkan atau menyebar secara lateral di dalamnya, pelaku ancaman menggunakan campuran komoditas dan perangkat lunak khusus, seperti Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r, dan Cobalt Strike "yang terhormat".

Lebih lanjut, salah satu metode penyebaran unik Wintti untuk suar Cobalt Strike melibatkan pengaburan muatan pada host untuk menghindari deteksi oleh perangkat lunak.

Menurut laporan Group-IB, peretas menyandikan muatan di base64 dan memecahnya menjadi sejumlah besar potongan kecil yang terdiri dari 775 karakter, yang kemudian digaungkan ke file teks bernama dns.txt seperti yang ditunjukkan di bawah ini.

Dalam beberapa kasus, dibutuhkan 154 pengulangan tindakan ini untuk menulis muatan ke file, tetapi di lain, Winnti meningkatkan ukuran potongan menjadi 1.024 karakter untuk mengurangi iterasi.

Pendekatan unik lainnya mengenai penerapan Cobalt Strike oleh Winnti adalah menggunakan pendengar dengan lebih dari 106 sertifikat SSL khusus, meniru Microsoft, Facebook, dan Cloudflare.

Sertifikat ini memastikan bahwa pendengar di server C2 hanya akan menerima koneksi dari suar yang ditanam, mengunci peneliti yang mengintip atau peretas yang penasaran di luar.

Sementara itu, setelah melacak aktivitas kelompok ancaman begitu lama, Grup-IB berada dalam posisi untuk memperkirakan perkiraan lokasi peretas berdasarkan jam kerja mereka, yang cenderung mengikuti jadwal yang ditentukan.

Kelompok mulai bekerja pada pukul 09:00 pagi dan berakhir sekitar pukul 19:00 pada sore hari, dalam zona waktu UTC+8.

Ini menempatkan kelompok peretas dalam posisi yang baik untuk operasi real-time terhadap target di Malaysia, Singapura, Rusia, Australia, dan China.

Khususnya, Winnti mencatat sangat sedikit jam selama akhir pekan, meskipun beberapa aktivitas diamati pada hari Minggu, mungkin untuk melakukan tindakan yang tidak mungkin diperhatikan oleh tim TI yang kekurangan staf.

Bahkan, ketika para peneliti terus-menerus melacak operasi Winnti, kelompok China yang canggih tetap tersembunyi dengan baik dan melanjutkan operasi spionase sibernya tanpa hambatan.

Namun, laporan Group-IB membantu mengisi kesenjangan, menguraikan taktik, teknik, dan prosedur (TTP) kelompok peretasan dan mengonfirmasi bahwa Winnti berhasil tetap sulit dipahami.

Pada Januari 2022, para peneliti di Kaspersky menemukan 'MoonBounce', sebuah implan firmware UEFI canggih yang disebarkan di alam liar oleh Winnti terhadap organisasi-organisasi terkenal.

Pada Maret 2022, Mandiant melaporkan bahwa Winnti melanggar jaringan pemerintah di enam negara bagian AS menggunakan eksploitasi Cisco dan Citrix.

Pada Mei 2022, sebuah laporan oleh Cybereason mengungkap banyak hal tentang persenjataan dan TTP (teknik, taktik, dan prosedur) Winnti setelah memetakan operasi yang sebelumnya tidak diketahui yang telah berlangsung setidaknya sejak 2019.