Networking

Peretas semut penenun Cina memata -matai jaringan telekomunikasi selama 4 tahun

93
peretas-semut-penenun-cina-memata-matai-jaringan-telekomunikasi-selama-4-tahun
Peretas semut penenun Cina memata -matai jaringan telekomunikasi selama 4 tahun

Kelompok ancaman canggih yang terkait dengan China bernama Weaver Ant menghabiskan lebih dari empat tahun di jaringan penyedia layanan telekomunikasi, menyembunyikan lalu lintas dan infrastruktur dengan bantuan router CPE zyxel yang dikompromikan.

Para peneliti yang menyelidiki intrusi menemukan beberapa varian China Chopper Backdoor dan cangkang web kustom yang sebelumnya tidak berdokumen yang disebut ‘InMemory’ yang mengeksekusi muatan dalam memori host.

Aktor ancaman menargetkan penyedia telekomunikasi utama Asia dan terbukti tangguh terhadap beberapa upaya pemberantasan, menurut para peneliti di perusahaan teknologi cyber dan jasa Sygnia.

“Menenun” jaringan dalam jaringan

Intrusi Ant Weaver memanfaatkan jaringan Operational Relay Box (ORB) yang dibuat terutama dari router CPE Zyxel untuk proxy lalu lintas dan menyembunyikan infrastruktur.

Aktor ancaman mendirikan pijakan di jaringan dengan menggunakan varian AES yang dienkripsi dari China Chopper Web Shell, yang memungkinkan kendali jarak jauh server sambil melewati pembatasan firewall.

Saat operasi matang, Weaver Ant memperkenalkan shell web yang lebih canggih dan kustom yang dikenal sebagai InMemory, yang memanfaatkan DLL (eval.dll) untuk ‘eksekusi kode just-in-time.

Sinar web InMemory
Sumber: Sygnia

Metode exfiltrasi data yang digunakan dalam serangan juga dipilih untuk meningkatkan alarm sesedikit mungkin, termasuk penangkapan lalu lintas jaringan pasif melalui mirroring port, peneliti Sygnia mengatakan dalam a laporan Hari ini.

Alih-alih menggunakan cangkang web secara terpisah, Weaver Ant mengaitkannya bersama-sama dalam teknik yang disebut ‘Web Shell Tunneling,’ yang sebelumnya dipelopori oleh aktor ancaman yang termotivasi secara finansial ‘Kumbang gajah. ‘

Teknik ini merutekan lalu lintas dari satu server ke yang berikutnya di seluruh segmen jaringan yang berbeda, pada dasarnya menciptakan jaringan komando dan kontrol rahasia (C2) di dalam infrastruktur korban.

Setiap shell bertindak sebagai proxy, melewati muatan bersarang dan dienkripsi kepada orang lain untuk eksekusi bertahap lebih dalam di dalam jaringan.

“Web Shell Tunneling adalah metode yang memanfaatkan beberapa shell web sebagai ‘server proxy’ untuk mengarahkan kembali lalu lintas HTTP masuk ke shell web lain pada host yang berbeda untuk pelaksanaan payload,” jelas Sygnia dalam laporan teknis.

Karena itu, Weaver Ant dapat “beroperasi di server dalam segmen jaringan yang berbeda.” Ini terutama server internal tanpa koneksi internet dan diakses melalui server yang dapat dijangkau melalui web yang bertindak sebagai gateway operasional.

Tunneling Web-Shell
Sumber: Sygnia

Temuan Sygnia menunjukkan bahwa Weaver Ant bergerak secara lateral menggunakan saham SMB dan akun-akun tinggi yang memiliki kata sandi yang sama selama bertahun-tahun, sering diautentikasi melalui hash NTLM.

Data yang mereka kumpulkan selama lebih dari empat tahun akses ke jaringan korban mencakup file konfigurasi, log akses, dan data kredensial untuk memetakan lingkungan dan menargetkan sistem yang berharga.

Mereka juga menonaktifkan mekanisme penebangan seperti ETW (pelacakan acara untuk windows) penambalan dan bypass AMSI (menimpa fungsi ‘amsiscanbuffer’ dalam modul ‘amsi.dll’) untuk menyimpan jejak yang lebih kecil dan tetap tidak terdeteksi untuk waktu yang lebih lama.

Rantai penempatan shell-shell
Sumber: Sygnia

Weaver Ant terbukti menjadi aktor yang disponsori negara yang terampil yang mampu mencapai akses jangka panjang di jaringan korban untuk operasi spionase dunia maya.

Sygnia mengatakan bahwa atribusinya didasarkan pada penggunaan model router zyxel yang populer di dalam wilayah geografis tertentu, penggunaan pintu belakang yang sebelumnya terkait dengan kelompok ancaman Cina, dan pengoperasian Ant Weaver selama jam kerja GMT +8.

Aktor ancaman tampaknya lebih fokus pada intelijen jaringan, pemanenan kredensial, dan akses berkelanjutan ke infrastruktur telekomunikasi daripada mencuri data pengguna atau catatan keuangan, yang konsisten dengan tujuan spionase yang disponsori negara.

Untuk mempertahankan terhadap ancaman lanjutan ini, disarankan untuk menerapkan kontrol lalu lintas jaringan internal, memungkinkan IIS penuh dan penebangan PowerShell, menerapkan prinsip -prinsip hak istimewa paling sedikit, dan sering memutar kredensial pengguna.

Juga, penggunaan kembali kerang web yang diketahui memberi para pembela kesempatan untuk menangkap aktivitas jahat lebih awal menggunakan alat deteksi statis dan tanda tangan yang diketahui.

Exit mobile version