Scroll untuk baca artikel
Networking

Kelompok peretas Tiongkok menargetkan pemerintah Rusia dan perusahaan IT

132
×

Kelompok peretas Tiongkok menargetkan pemerintah Rusia dan perusahaan IT

Share this article
kelompok-peretas-tiongkok-menargetkan-pemerintah-rusia-dan-perusahaan-it
Kelompok peretas Tiongkok menargetkan pemerintah Rusia dan perusahaan IT

Cina

Serangkaian serangan siber tertarget yang dimulai pada akhir Juli 2024, menargetkan puluhan sistem yang digunakan di organisasi pemerintah dan perusahaan TI Rusia, terkait dengan peretas Tiongkok dari kelompok APT31 dan APT 27.

Example 300x600

Kaspersky, yang menemukan aktivitas ini, menjuluki kampanye tersebut “EastWind,” dan melaporkan bahwa kampanye ini menggunakan versi terbaru dari Pintu belakang CloudSorcerer terlihat dalam kampanye spionase siber serupa pada Mei 2024, yang juga menargetkan entitas pemerintah Rusia.

Perlu dicatat bahwa aktivitas CloudSorcerer tidak terikat ke Rusia, karena Proofpoint mencatat serangan menargetkan lembaga pemikir yang berbasis di AS pada bulan Mei 2024.

Perangkat EastWind

Infeksi awal mengandalkan email phishing yang memuat lampiran arsip RAR dengan nama target, yang menggunakan pemuatan sisi DLL untuk menjatuhkan pintu belakang pada sistem dari Dropbox sambil membuka dokumen untuk penipuan.

Pintu belakang dapat menavigasi sistem berkas, menjalankan perintah, mencuri data, atau memasukkan muatan tambahan ke dalam mesin yang disusupi.

milik Kaspersky pengamatan mengungkapkan bahwa penyerang menggunakan backdoor untuk memperkenalkan trojan bernama ‘GrewApacha,’ yang telah dikaitkan dengan APT31.

Varian GrewApacha yang paling baru memiliki beberapa peningkatan dibandingkan dengan versi terakhir yang dianalisis pada tahun 2023, termasuk menggunakan dua server perintah, bukan satu, menyimpan alamatnya dalam string berkode base64 pada profil GitHub tempat malware membacanya.

alamat C2
Alamat C2 “tersembunyi” di profil publik
Sumber: Kaspersky

Malware lain yang dimuat melalui backdoor adalah versi terbaru dari Penyihir Awan dikemas dengan VMProtect untuk penghindaran.

CloudSorcerer menggunakan mekanisme perlindungan enkripsi yang dirancang untuk mencegah eksekusinya pada sistem yang tidak menjadi target dengan menggunakan proses pembuatan kunci unik yang terikat pada mesin korban.

Setelah dieksekusi, sebuah utilitas (GetKey.exe) menghasilkan nomor empat-byte unik dari status sistem saat ini dan mengenkripsinya menggunakan fungsi Windows CryptProtectData untuk memperoleh ciphertext unik yang terikat sistem.

Jika eksekusi malware dicoba pada mesin lain, kunci yang dihasilkan akan berbeda, sehingga dekripsi muatan CloudSorcerer akan gagal.

Fungsi GetKey utama
Fungsi GetKey utama
Sumber: Kaspersky

Versi baru CloudSorcerer juga menggunakan halaman profil publik untuk mendapatkan alamat C2 awalnya tetapi sekarang telah beralih dari GitHub ke penggunaan Quora dan jaringan media sosial Rusia LiveJournal untuk tujuan ini.

Implan ketiga yang terlihat dalam serangan EastWind, diperkenalkan melalui CloudSorcered, adalah Pasangpintu belakang yang sebelumnya tidak dikenal.

PlugY memiliki fleksibilitas tinggi dalam komunikasi C2 dan kemampuan untuk menjalankan perintah untuk operasi file, eksekusi perintah shell, perekaman layar, pencatatan tombol, dan pemantauan papan klip.

Analisis Kaspersky menunjukkan bahwa kode yang digunakan dalam PlugY sebelumnya telah terlihat dalam serangan oleh kelompok ancaman APT27.

Selain itu, pustaka yang digunakan untuk komunikasi C2 melalui protokol UDP hanya ditemukan di DRBControl dan PlugX, yang merupakan alat malware yang banyak digunakan oleh pelaku ancaman Tiongkok.

Kesamaan kode antara DRBControl (kiri) dan PlugY (kanan)
Kesamaan kode antara DRBControl (kiri) dan PlugY (kanan)
Sumber: Kaspersky

Kaspersky berkomentar bahwa, karena backdoor yang digunakan dalam serangan EastWind sangat berbeda, mendeteksi semuanya pada mesin yang disusupi merupakan tantangan. Beberapa hal yang perlu diperhatikan adalah:

  • File DLL yang ukurannya lebih besar dari 5MB di direktori ‘C:UsersPublic’
  • File ‘msedgeupdate.dll’ yang tidak ditandatangani di sistem file
  • Proses yang berjalan bernama ‘msiexec.exe’ untuk setiap pengguna yang masuk

Perusahaan keamanan siber Rusia menyimpulkan bahwa APT27 dan APT31 kemungkinan bekerja sama di EastWind.

Kasus ini menyoroti interaksi kompleks antara negara-negara sekutu dengan hubungan diplomatik yang kuat dan tujuan strategis bersama namun melakukan operasi spionase siber yang aktif terhadap satu sama lain.

Kolaborasi di bidang ekonomi, keamanan, dan militer tidak menghalangi badan intelijen yang beroperasi dalam bayang-bayang untuk meluncurkan operasi mata-mata yang canggih dan bertarget sempit guna mengumpulkan intelijen yang berharga.