Cyberthreat.id - Aktor ancaman bernama Redfly dikaitkan dengan penyusupan jaringan nasional yang berlokasi di negara Asia. Penyusupan selama enam bulan awal tahun ini menggunakan malware yang dikenal sebagai ShadowPad.

“Para penyerang berhasil mencuri kredensial dan menyusupi banyak komputer di jaringan organisasi,” Tim Pemburu Ancaman Symantec, bagian dari Broadcom, mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News.

“Serangan ini adalah yang terbaru dari serangkaian intrusi spionase terhadap target [infrastruktur nasional yang penting].”

ShadowPad, juga dikenal sebagai PoisonPlug, merupakan tindak lanjut dari trojan akses jarak jauh PlugX dan merupakan implan modular yang mampu memuat plugin tambahan secara dinamis dari server jarak jauh sesuai kebutuhan untuk mengambil data sensitif dari jaringan yang dibobol.

Ini telah digunakan secara luas oleh semakin banyak kelompok negara-bangsa yang terhubung dengan China setidaknya sejak tahun 2019 dalam serangan yang ditujukan terhadap organisasi di berbagai vertikal industri.

“ShadowPad didekripsi dalam memori menggunakan algoritme dekripsi khusus,” kata Secureworks Counter Threat Unit (CTU) pada Februari 2022.

“ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas Kegunaan."

Tanda paling awal dari serangan yang menargetkan entitas Asia dikatakan telah tercatat pada tanggal 23 Februari 2023, ketika ShadowPad dieksekusi pada satu komputer, diikuti dengan menjalankan pintu belakang tiga bulan kemudian pada tanggal 17 Mei.

Pada waktu yang sama juga digunakan alat bernama Packerloader yang digunakan untuk mengeksekusi shellcode sewenang-wenang, menggunakannya untuk mengubah izin file driver yang dikenal sebagai dump_diskfs.sys untuk memberikan akses kepada semua pengguna, meningkatkan kemungkinan bahwa driver tersebut mungkin telah digunakan untuk membuat dump sistem file untuk eksfiltrasi nanti.

Pelaku ancaman selanjutnya diamati menjalankan perintah PowerShell untuk mengumpulkan informasi tentang perangkat penyimpanan yang terpasang pada sistem, membuang kredensial dari Windows Registry, sekaligus menghapus log peristiwa keamanan dari mesin.

“Pada tanggal 29 Mei, penyerang kembali dan menggunakan versi ProcDump yang telah diganti namanya (nama file: alg.exe) untuk membuang kredensial dari LSASS,” kata Symantec.

"Pada tanggal 31 Mei, tugas terjadwal digunakan untuk mengeksekusi oleview.exe, kemungkinan besar untuk melakukan pemuatan samping dan gerakan lateral."

Diduga Redfly menggunakan kredensial curian untuk menyebarkan infeksi ke mesin lain dalam jaringan.

Setelah jeda hampir dua bulan, musuh muncul kembali untuk menginstal keylogger pada tanggal 27 Juli dan sekali lagi mengekstrak kredensial dari LSASS dan Registry pada tanggal 3 Agustus.

Symantec mengatakan kampanye tersebut berbagi infrastruktur dan peralatan yang tumpang tindih dengan aktivitas yang diidentifikasi sebelumnya yang dikaitkan dengan kelompok yang disponsori negara China yang disebut sebagai APT41 (alias Winnti), dengan Redly hampir secara eksklusif berfokus pada penargetan entitas infrastruktur penting.

Namun, tidak ada bukti bahwa kelompok peretas tersebut telah melakukan serangan yang mengganggu hingga saat ini.

“Aktor-aktor ancaman yang mempertahankan keberadaannya dalam jangka panjang dan terus-menerus di jaringan listrik nasional menghadirkan risiko serangan yang dirancang untuk mengganggu pasokan listrik dan layanan penting lainnya di negara-negara lain pada saat ketegangan politik meningkat,” kata perusahaan itu.

Perkembangan ini terjadi ketika Microsoft mengungkapkan bahwa aktor-aktor yang berafiliasi dengan China sedang mengasah media visual yang dihasilkan AI untuk digunakan dalam operasi pengaruh yang menargetkan A.S. serta “melakukan pengumpulan intelijen dan eksekusi malware terhadap pemerintah dan industri regional” di wilayah Laut Cina Selatan sejak awal tahun.

“Raspberry Typhoon [sebelumnya Radium] secara konsisten menargetkan kementerian pemerintah, entitas militer, dan entitas perusahaan yang terhubung dengan infrastruktur penting, khususnya telekomunikasi,” kata raksasa teknologi itu. “Sejak Januari 2023, Topan Raspberry terus terjadi.”

Target lainnya termasuk pangkalan industri pertahanan AS (Circle Typhoon / DEV-0322, Mulberry Typhoon / Manganese, dan Volt Typhoon / DEV-0391), infrastruktur penting AS, entitas pemerintah di Eropa dan AS (Storm-0558), dan Taiwan ( Topan Arang / Topan Kromium dan Rami / Storm-0919).

Hal ini juga menyusul laporan dari Dewan Atlantik bahwa undang-undang China yang mewajibkan perusahaan yang beroperasi di negara tersebut untuk mengungkapkan kelemahan keamanan pada produk mereka kepada Kementerian Perindustrian dan Teknologi Informasi (MIIT) memungkinkan negara tersebut untuk menimbun kerentanan dan membantu peretas negara "meningkatkan tempo operasional, keberhasilan, dan ruang lingkup."[]