Mata-Mata Siber China Menargetkan Entitas Pemerintah Asia Tenggara

  • Whatsapp
Mata-Mata Siber China Menargetkan Entitas Pemerintah Asia Tenggara

Sebuah kampanye menyapu dan “sangat aktif” yang awalnya mengarahkan perhatiannya pada Myanmar telah memperluas fokusnya untuk menyerang sejumlah target yang terletak di Filipina, menurut penelitian baru.

Perusahaan keamanan siber Rusia Kaspersky, yang pertama kali melihat infeksi pada Oktober 2020, mengaitkannya dengan aktor ancaman yang dilacaknya sebagai “BercahayaNgengat,” yang dihubungkan dengan kepercayaan sedang hingga tinggi ke grup peretasan yang disponsori negara Tiongkok bernama HoneyMyte atau Mustang Panda, mengingat viktimologi, taktik, dan prosedur yang diamati.

Bacaan Lainnya

Sekitar 100 korban yang terkena dampak telah diidentifikasi di Myanmar, sementara jumlah korban melonjak menjadi hampir 1.400 di Filipina, meskipun para peneliti mencatat bahwa target sebenarnya hanya sebagian kecil dari jumlah awal, termasuk entitas pemerintah yang berlokasi di kedua negara dan di luar negeri.

Tim Stack Overflow

Tujuan dari serangan tersebut adalah untuk mempengaruhi target yang luas dengan tujuan mengenai beberapa pilihan yang memiliki kepentingan strategis, kata peneliti Mark Lechtik, Paul Rascagneres, dan Aseel Kayal. Dengan kata lain, penyusupan secara bersamaan memiliki jangkauan luas dan fokus sempit, memungkinkan ancaman untuk menyedot intelijen dari target profil tinggi.

Vektor infeksi yang digunakan dalam kampanye melibatkan pengiriman email spear-phishing ke korban yang berisi tautan unduhan Dropbox yang, ketika diklik, mengarah ke arsip RAR yang dirancang untuk meniru dokumen Word. File arsip, pada bagiannya, dilengkapi dengan dua perpustakaan DLL berbahaya (“version.dll” dan “wwlib.dll”) dan dua file executable terkait yang menjalankan malware.

Setelah berhasil mendapatkan pijakan, rantai infeksi alternatif yang diamati oleh Kaspersky memanfaatkan drive USB yang dapat dilepas untuk menyebarkan malware ke host lain dengan bantuan “version.dll”. Di sisi lain, tujuan “wwlib.dll” adalah untuk mengunduh suar Cobalt Strike pada sistem Windows yang disusupi dari domain yang dikendalikan penyerang jarak jauh.

Dalam beberapa kasus, serangan memasukkan langkah ekstra di mana aktor ancaman menyebarkan alat pasca-eksploitasi dalam bentuk versi aplikasi konferensi video Zoom yang ditandatangani tetapi nakal, menggunakannya untuk memindahkan file sensitif ke perintah-dan-kontrol. server. Sebuah sertifikat digital yang valid digunakan untuk menandatangani perangkat lunak dalam upaya untuk lulus dari alat sebagai jinak. Juga terlihat pada beberapa mesin yang terinfeksi adalah utilitas pasca-eksploitasi kedua yang mencuri cookie dari browser Google Chrome.

Mencegah Serangan Ransomware

Operasi siber berbahaya LuminousMoth dan kemungkinan hubungannya dengan Mustang Panda APT mungkin juga merupakan upaya untuk mengubah taktik dan memperbarui langkah-langkah pertahanan mereka dengan memperlengkapi kembali dan mengembangkan implan malware baru dan tidak dikenal, Kaspersky mencatat, sehingga berpotensi mengaburkan hubungan apa pun dengan aktivitas mereka di masa lalu dan mengaburkan atribusi mereka ke kelompok yang dikenal.

“Aktor APT dikenal karena sifat serangan mereka yang sering menjadi sasaran. Biasanya, mereka akan memilih satu set target yang pada gilirannya ditangani dengan presisi hampir seperti pembedahan, dengan vektor infeksi, implan berbahaya, dan muatan yang disesuaikan dengan identitas atau lingkungan korban. ,” kata peneliti Kaspersky.

“Kami jarang mengamati serangan skala besar yang dilakukan oleh aktor yang cocok dengan profil ini, biasanya karena serangan tersebut berisik, dan dengan demikian menempatkan operasi yang mendasarinya berisiko disusupi oleh produk keamanan atau peneliti.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *