Grup Peretas APT Earth Baku Mengupgrade Perangkat Peretasannya

  • Whatsapp
Grup Peretas APT Earth Baku Mengupgrade Perangkat Peretasannya
Grup Peretas APT Earth Baku Mengupgrade Perangkat Peretasannya
Peretas APT Earth Baku

Peneliti keamanan siber Trend Micro baru-baru ini mendeteksi kampanye yang diprakarsai oleh kelompok pelaku ancaman APT Earth Baku. Menurut pakar keamanan, kelompok ini telah menargetkan organisasi di kawasan Indo-Pasifik.

Segera setelah mendeteksi kampanye ini, analis keamanan telah melakukan penyelidikan yang kuat untuk mengetahui tentang tim aktor ancaman dan operasi mereka, namun, juga telah dibersihkan bahwa aktor ancaman memulai serangan sejak Juli 2020.

Profil Korban

Karena kampanye jahat ini menargetkan organisasi-organisasi di kawasan Indo-Pasifik, maka telah dipastikan bahwa tim aktor ancaman APT Earth Baku telah menargetkan entitas di sektor berikut:-

  • Perusahaan penerbangan
  • Perangkat keras komputer
  • Otomotif
  • Infrastruktur
  • Penerbitan
  • Media
  • industri TI

Setelah menyelidiki serangan tersebut, para peneliti keamanan siber mengetahui bahwa semua korban secara khusus terdaftar dari negara-negara berikut:-

  • India
  • Indonesia
  • Malaysia
  • Orang Filipina
  • Taiwan
  • Vietnam

Alat baru

Earth Baku menerapkan bagian malware yang tidak teridentifikasi sebelumnya dalam kampanye khusus ini, itulah sebabnya alat telah dimodifikasi dalam kampanye ini yang disebutkan di bawah:-

Pemuat: StealthVector dan StealthMutant

muatan: ScrambleCross dan suar Cobalt Strike

Menyerang vektor

Dalam kampanye khusus ini, para pelaku ancaman APT Bumi Baku telah menggunakan beberapa metode sehingga mereka dapat dengan mudah masuk ke dalam sistem dan kemudian dengan mudah melaksanakan operasi mereka.

Namun, kami telah menyebutkan semua cara berbeda yang digunakan oleh pelaku ancaman untuk masuk dan menginfeksi sistem target:-

  • Injeksi skrip SQL ke dalam sistem Microsoft SQL Server untuk mengunggah file berbahaya.
  • Eksploitasi kerentanan Microsoft Exchange Server ProxyLogon CVE-2021-26855 untuk mengunggah web shell yang berbahaya.
  • Distribusi potensial melalui email yang membawa lampiran berbahaya.
  • Penggunaan aplikasi penginstal InstallUtil.exe dalam tugas terjadwal.

Atribusi

Kampanye ini terkait dengan salah satu kampanye sebelumnya yang telah dilakukan oleh Earth Baku, dan kampanye itu melakukan semua tugas yang direncanakan di bawah alias APT41.

Itulah sebabnya para ahli mengaitkan kampanye baru dengan kampanye lama untuk menemukan kesamaan, dan di sini kami telah menyebutkannya di bawah:-

  • Awalnya, kedua kampanye menggunakan skrip penginstal bernama install.bat.
  • Satu lagi adalah bahwa pemuat shellcode dari kedua kampanye memiliki pustaka tautan dinamis (DLL) yang identik, Storesyncsvc.dll, dan metode yang relevan untuk memuat API.
  • Kedua muatan kampanye menerapkan metode yang sebanding untuk pemeriksaan tanda tangan serta mendekode fungsi utamanya.

Apalagi masih banyak temuan yang belum diketahui, oleh karena itu para peneliti berusaha sebaik mungkin untuk mengetahui semua detail mengenai serangan ini.

Ikuti kami di Linkedin, Indonesia, Facebook untuk Berita & Pembaruan Cybersecurity harian

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *