Cyberthreat.id - Sebuah pemerintahan di Asia Tenggara yang tidak disebutkan namanya menjadi sasaran sejumlah pelaku ancaman yang berhubungan dengan China.  Aksi ini disebutkan sebagai bagian dari aktivitas spionase yang menargetkan wilayah tersebut dalam jangka panjang.

“Meskipun aktivitas ini terjadi pada waktu yang hampir bersamaan dan dalam beberapa kasus bahkan secara bersamaan pada mesin korban yang sama, setiap cluster memiliki karakteristik alat, modus operandi, dan infrastruktur yang berbeda,” peneliti Palo Alto Networks Unit 42 Lior Rochberger, Tom Fakterman, dan Robert Falcone berkata dalam laporan tiga bagian yang lengkap sebagaimana dikutip The Hacker News.

Serangan-serangan tersebut, yang menyasar entitas-entitas pemerintah yang berbeda seperti infrastruktur penting, lembaga-lembaga kesehatan publik, administrator keuangan publik dan kementerian, telah dikaitkan dengan tingkat keyakinan yang moderat terhadap tiga kelompok berbeda yang dilacak sebagai Stately Taurus (alias Mustang Panda), Alloy Taurus (alias Granite Typhoon), dan Gelsemium.

Mustang Panda Gunakan Varian TONESHELL dan ShadowPad

“Para penyerang melakukan operasi spionase dunia maya yang berfokus pada pengumpulan intelijen serta pencurian dokumen dan informasi sensitif, sambil mempertahankan basis yang gigih dan rahasia,” kata para peneliti, yang menggambarkan operasi tersebut “sangat bertarget dan didorong oleh intelijen.”

Kegiatan ini berlangsung dari kuartal kedua tahun 2021 hingga kuartal ketiga tahun 2023, memanfaatkan berbagai alat untuk melakukan pengintaian, mencuri kredensial, mempertahankan akses, dan melakukan tindakan pasca-kompromi.

Beberapa perangkat lunak terkenal yang digunakan untuk mencapai tujuan ini terdiri dari kerangka pemindaian sumber terbuka LadonGo, AdFind, Mimikatz, Ipacket, shell web China Chopper, Cobalt Strike, ShadowPad, dan versi baru backdoor TONESHELL.

Malware ini menghindari penggunaan shellcode dan memilih tiga komponen berbasis DLL untuk mengatur persistensi di endpoint, membangun komunikasi perintah dan kontrol dengan server jarak jauh, dan melakukan operasi pengumpulan informasi, termasuk eksekusi perintah, interaksi sistem file. , keylogging, dan tangkapan layar.

Selama operasi, pelaku ancaman perlahan-lahan mengambil kendali atas lingkungan korban, dengan fokus pada mempertahankan kendali untuk operasi jangka panjang,” kata para peneliti.

“Tujuan dari upaya pelaku ancaman tampaknya adalah pengumpulan terus-menerus dan eksfiltrasi orang-orang sensitif. dokumen dan intelijen."

Alloy Taurus Bertujuan Terbang di Bawah Radar

Rangkaian intrusi yang terkait dengan Alloy Taurus dikatakan telah dimulai pada awal tahun 2022 dan berlanjut sepanjang tahun 2023, memanfaatkan teknik yang tidak biasa dan melewati produk keamanan untuk persistensi dan pengintaian jangka panjang.

Serangan-serangan ini, yang terjadi dalam enam gelombang berbeda, mempersenjatai kelemahan keamanan di Server Microsoft Exchange untuk menyebarkan web shell, yang kemudian berfungsi sebagai saluran untuk mengirimkan muatan tambahan, termasuk dua backdoor .NET yang sebelumnya tidak diketahui, Zapoa dan ReShell, untuk menjalankan perintah sewenang-wenang dari jarak jauh dan melakukan panen data yang sensitif.

Zapoa juga menggabungkan fitur untuk mengekstrak informasi sistem, menjalankan shellcode, menghitung proses yang berjalan, memuat lebih banyak file rakitan .NET untuk meningkatkan kemampuannya, dan memberi stempel waktu pada file dan artefak dengan tanggal yang disediakan, sebuah teknik yang disebut timestomping.

“Pelaku ancaman di balik klaster ini menggunakan pendekatan yang matang, memanfaatkan intrusi multiwave dan mengeksploitasi kerentanan di Server Exchange sebagai vektor penetrasi utama mereka,” kata para peneliti.

Dalam beberapa kasus, Alloy Taurus juga terlihat melakukan pencurian kredensial untuk memfasilitasi pergerakan lateral dengan menyalahgunakan alat administrasi jarak jauh AnyDesk yang sudah ada di lingkungan yang disusupi.

Beberapa perangkat lunak lain yang diinstal oleh pelaku ancaman termasuk Cobalt Strike, Quasar RAT, HDoor (pintu belakang yang sebelumnya digunakan oleh kelompok Tiongkok seperti Naikon dan Goblin Panda), varian Gh0st RAT yang dikenal sebagai Gh0stCringe, dan Winnti, sebuah implan multi-fungsi yang mampu pemberian kendali jarak jauh ke mesin yang terinfeksi.

Gelsemium Memilih Server IIS yang Rentan

“Kluster unik ini memiliki aktivitas selama enam bulan antara tahun 2022-2023,” kata para peneliti.

“Ini menampilkan kombinasi alat dan teknik langka yang dimanfaatkan oleh pelaku ancaman untuk mendapatkan pijakan rahasia dan mengumpulkan intelijen dari server IIS sensitif milik entitas pemerintah di Asia Tenggara.”

Rantai serangan memanfaatkan server web yang rentan untuk memasang shell web dan mendistribusikan backdoor seperti OwlProxy dan SessionManager, sekaligus memanfaatkan alat lain seperti Cobalt Strike, Meterpreter, Earthworm, dan SpoolFool untuk pasca-eksploitasi, penerowongan lalu lintas perintah dan kontrol, dan peningkatan hak istimewa.

OwlProxy adalah proksi HTTP dengan fungsi pintu belakang yang pertama kali terungkap pada bulan April 2020.

SessionManager, yang dirinci oleh Kaspersky pada bulan Juli lalu, adalah pintu belakang khusus yang dirancang untuk mengurai bidang Cookie dalam permintaan HTTP masuk untuk mengekstrak perintah yang dikeluarkan oleh penyerang.

“Pelaku ancaman menerima akses melalui penggunaan beberapa web shell, menyusul upaya instalasi beberapa jenis malware proxy dan pintu belakang IIS,” kata para peneliti.

“Karena beberapa upaya pelaku ancaman untuk memasang malware tidak berhasil, mereka terus menghadirkan alat baru, yang menunjukkan kemampuan mereka untuk beradaptasi dengan proses mitigasi.”[]