Grup Peretasan APT Baru Menargetkan Server Microsoft IIS dengan Eksploitasi ASP.NET

  • Whatsapp
Grup Peretasan APT

Aktor ancaman baru yang sangat mampu dan gigih telah menargetkan entitas publik dan swasta utama di AS sebagai bagian dari serangkaian serangan intrusi dunia maya yang ditargetkan dengan mengeksploitasi Layanan Informasi Internet Microsoft yang menghadap internet (IIS) server untuk menyusup ke jaringan mereka.

Perusahaan keamanan siber Israel Sygnia, yang mengidentifikasi kampanye tersebut, melacak musuh yang canggih dan tersembunyi di bawah moniker “Praying Mantis” atau “TG2021.”

Bacaan Lainnya

Tim Stack Overflow

“TG1021 menggunakan kerangka kerja malware yang dibuat khusus, dibangun di sekitar inti umum, dibuat khusus untuk server IIS. Perangkat ini sepenuhnya mudah berubah, dimuat secara reflektif ke dalam memori mesin yang terpengaruh dan meninggalkan sedikit atau tanpa jejak pada target yang terinfeksi,” peneliti dikatakan. “Aktor ancaman juga menggunakan pintu belakang tersembunyi tambahan dan beberapa modul pasca-eksploitasi untuk melakukan pengintaian jaringan, meningkatkan hak istimewa, dan bergerak secara lateral di dalam jaringan.”

Grup Peretasan APT

Selain menunjukkan kemampuan yang menunjukkan upaya signifikan untuk menghindari deteksi dengan secara aktif mengganggu mekanisme logging dan berhasil menghindari sistem deteksi dan respons titik akhir komersial (EDR), aktor ancaman telah diketahui memanfaatkan gudang eksploitasi aplikasi web ASP.NET untuk mendapatkan pijakan awal dan pintu belakang server dengan menjalankan implan canggih bernama “NodeIISWeb” yang dirancang untuk memuat DLL khusus serta mencegat dan menangani permintaan HTTP yang diterima oleh server.

Grup Peretasan APT

Kerentanan yang dimanfaatkan oleh aktor antara lain:

Mencegah Pelanggaran Data

Menariknya, investigasi Sygnia terhadap taktik, teknik, dan prosedur (TTP) TG1021 telah menemukan “tumpang tindih besar” dengan aktor yang disponsori negara bernama “Kompromi Salin-Tempel,” sebagaimana dirinci dalam nasihat yang dirilis oleh Pusat Keamanan Siber Australia (ACSC) pada Juni 2020, yang menjelaskan kampanye siber yang menargetkan infrastruktur yang menghadap publik terutama melalui penggunaan kelemahan yang belum ditambal di server Telerik UI dan IIS. Namun, atribusi formal masih harus dibuat.

“Praying Mantis, yang telah diamati menargetkan entitas publik dan swasta profil tinggi di dua pasar utama Barat, mencontohkan tren yang berkembang dari penjahat dunia maya yang menggunakan metode serangan negara-bangsa yang canggih untuk menargetkan organisasi komersial,” kata para peneliti. “Kegiatan forensik berkelanjutan dan respons insiden tepat waktu sangat penting untuk mengidentifikasi dan secara efektif mempertahankan jaringan dari serangan oleh aktor ancaman serupa.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *