Cyberthreat.id - Pelaku ancaman terlihat menargetkan perusahaan semikonduktor di Asia Timur dengan umpan yang menyamar sebagai Perusahaan Manufaktur Semikonduktor Taiwan (TSMC) yang dirancang mengirimkan suar Cobalt Strike.

Set intrusi, menurut EclecticIQ, memanfaatkan pintu belakang yang disebut HyperBro, yang kemudian digunakan sebagai saluran untuk menyebarkan perangkat lunak simulasi serangan komersial dan perangkat pasca-eksploitasi.

The Hacker News menguraikan, rangkaian serangan alternatif dikatakan telah memanfaatkan pengunduh malware yang sebelumnya tidak terdokumentasi untuk menyebarkan Cobalt Strike, yang menunjukkan bahwa pelaku ancaman merancang berbagai pendekatan untuk menyusup ke target yang diinginkan.

Disebutkan, perusahaan keamanan siber Belanda mengaitkan kampanye ini dengan aktor ancaman yang terkait dengan Tiongkok karena penggunaan HyperBro, yang hampir secara eksklusif digunakan oleh aktor ancaman yang dikenal sebagai Lucky Mouse (alias APT27, Budworm, dan Emissary Panda).

Tumpang tindih taktis juga telah ditemukan antara musuh di balik serangan tersebut dan kelompok lain yang dilacak oleh RecordedFuture dengan nama RedHotel, yang juga tumpang tindih dengan kru peretas bernama Earth Lusca.

Koneksi China lainnya berasal dari penggunaan server web Cobra DocGuard yang kemungkinan telah disusupi untuk menampung biner tahap kedua, termasuk implan berbasis Go yang dijuluki ChargeWeapon, untuk didistribusikan melalui pengunduh.

“ChargeWeapon dirancang untuk mendapatkan akses jarak jauh dan mengirim informasi perangkat dan jaringan dari host yang terinfeksi ke server [perintah-dan-kontrol] yang dikendalikan penyerang,” kata peneliti EclecticIQ Arda Büyükkaya dalam analisis hari Kamis sebagaimana ditulis The Hacker News.

Perlu dicatat bahwa versi trojan dari perangkat lunak enkripsi Cobra DocGuard EsafeNet juga telah dikaitkan dengan penerapan PlugX, dan Symantec menghubungkannya dengan tersangka aktor China-nexus dengan nama sandi Carderbee.

Dalam rantai serangan yang didokumentasikan oleh EclecticIQ, dokumen PDF bertema TSMC ditampilkan sebagai umpan setelah eksekusi HyperBro, yang menunjukkan penggunaan teknik rekayasa sosial untuk mengaktifkan infeksi.

“Dengan menampilkan PDF yang tampak normal sambil menjalankan malware secara diam-diam di latar belakang, kemungkinan korban menjadi curiga dapat diminimalkan,” jelas Büyükkaya.

Aspek penting dari serangan ini adalah bahwa alamat server C2 yang dikodekan secara keras ke dalam suar Cobalt Strike disamarkan sebagai CDN jQuery yang sah dalam upaya untuk menerobos pertahanan firewall.

Pengungkapan ini terjadi ketika Financial Times melaporkan bahwa badan intelijen dan keamanan Belgia, Dinas Keamanan Negara (VSSE), sedang berupaya untuk “mendeteksi dan melawan kemungkinan aktivitas mata-mata dan/atau campur tangan yang dilakukan oleh entitas China termasuk Alibaba” di Liège negara tersebut.

Alibaba membantah melakukan kesalahan.

“Aktivitas China di Belgia tidak terbatas pada mata-mata klasik yang mencuri rahasia negara atau peretas yang melumpuhkan industri penting atau departemen pemerintah dari belakang PC-nya,” kata badan tersebut dalam laporan intelijen.

“Dalam upaya untuk mempengaruhi proses pengambilan keputusan, China menggunakan berbagai sumber daya negara dan non-negara.”

Sebuah laporan yang dikeluarkan oleh Departemen Pertahanan AS (DoD) bulan lalu menggambarkan China sebagai “ancaman spionase dunia maya yang luas dan menyebar.”

Dituding bahwa China mencuri rahasia teknologi dan melakukan upaya pengawasan untuk mendapatkan keuntungan strategis.

“Dengan menggunakan cara-cara siber, RRT telah terlibat dalam kampanye spionase, pencurian, dan kompromi yang berkepanjangan terhadap jaringan pertahanan utama dan infrastruktur penting AS yang lebih luas, khususnya Pangkalan Industri Pertahanan (DIB),” kata Departemen Pertahanan.[]