Pakar Menghubungkan Serangan Malware Trotoar ke Grup Peretas Cina Grayfly

  • Whatsapp
Grup Peretas Cina

Sebuah pintu belakang yang sebelumnya tidak terdokumentasi yang baru-baru ini ditemukan menargetkan sebuah perusahaan ritel komputer yang tidak disebutkan namanya yang berbasis di AS telah dikaitkan dengan operasi spionase China yang telah lama dijuluki Grayfly.

Pada akhir Agustus, perusahaan keamanan siber Slovakia ESET mengungkapkan rincian implan yang disebut SideWalk, yang dirancang untuk memuat plugin sewenang-wenang yang dikirim dari server yang dikendalikan penyerang, mengumpulkan informasi tentang proses yang berjalan dalam sistem yang disusupi, dan mengirimkan hasilnya kembali ke server jarak jauh. .

Bacaan Lainnya

Perusahaan keamanan siber menghubungkan penyusupan tersebut ke grup yang dilacaknya sebagai SparklingGoblin, musuh yang diyakini terkait dengan keluarga malware Winnti (alias APT41).

Tetapi penelitian terbaru yang diterbitkan oleh para peneliti dari Broadcom’s Symantec telah menyematkan pintu belakang SideWalk pada kelompok spionase yang terkait dengan China, menunjukkan tumpang tindih malware dengan malware Crosswalk yang lebih lama, dengan aktivitas peretasan Grayfly terbaru yang memilih sejumlah organisasi di Meksiko, Taiwan, AS, dan Vietnam.

“Fitur kampanye baru-baru ini adalah sejumlah besar target berada di sektor telekomunikasi. Kelompok ini juga menyerang organisasi di sektor TI, media, dan keuangan,” Tim Pemburu Ancaman Symantec dikatakan dalam sebuah tulisan yang diterbitkan pada hari Kamis.

Dikenal aktif setidaknya sejak Maret 2017, Grayfly berfungsi sebagai “lengan spionase APT41” yang terkenal karena menargetkan berbagai industri dalam mengejar data sensitif dengan mengeksploitasi server web Microsoft Exchange atau MySQL yang menghadap publik untuk menginstal shell web untuk intrusi awal, sebelum menyebar secara lateral di seluruh jaringan dan memasang pintu belakang tambahan yang memungkinkan pelaku ancaman untuk mempertahankan akses jarak jauh dan mengekstrak informasi yang terkumpul.

Dalam satu contoh yang diamati oleh Symantec, aktivitas siber jahat musuh dimulai dengan menargetkan server Microsoft Exchange yang dapat dijangkau internet untuk mendapatkan pijakan awal ke dalam jaringan. Ini diikuti dengan mengeksekusi serangkaian perintah PowerShell untuk menginstal web shell yang tidak dikenal, yang pada akhirnya mengarah pada penerapan pintu belakang Sidewalk dan varian khusus dari alat pembuang kredensial Mimikatz yang telah digunakan dalam serangan Grayfly sebelumnya.

“Grayfly adalah aktor yang cakap, kemungkinan akan terus menimbulkan risiko bagi organisasi di Asia dan Eropa di berbagai industri, termasuk telekomunikasi, keuangan, dan media,” kata para peneliti. “Kemungkinan grup ini akan terus mengembangkan dan meningkatkan alat khusus untuk meningkatkan taktik penghindaran bersama dengan menggunakan alat komoditas seperti eksploitasi yang tersedia untuk umum dan cangkang web untuk membantu serangan mereka.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *