Para Pakar Mengungkap Lagi Kampanye Mata-mata China yang Ditujukan untuk Asia Tenggara

  • Whatsapp
spionase dunia maya

Operasi spionase dunia maya yang sedang berlangsung dengan dugaan hubungan dengan China telah ditemukan menargetkan pemerintah Asia Tenggara untuk menyebarkan spyware pada sistem Windows sambil tetap berada di bawah radar selama lebih dari tiga tahun.

“Dalam kampanye ini, para penyerang memanfaatkan set eksploitasi dan pemuat Microsoft Office dengan teknik anti-analisis dan anti-debugging untuk memasang pintu belakang yang sebelumnya tidak dikenal pada mesin korban,” peneliti dari Titik Cek Penelitian mengatakan dalam sebuah laporan yang diterbitkan hari ini.

Bacaan Lainnya

Rantai infeksi bekerja dengan mengirimkan dokumen umpan, meniru entitas lain dalam pemerintahan, ke beberapa anggota Kementerian Luar Negeri, yang, ketika dibuka, mengambil muatan tahap berikutnya dari server penyerang yang berisi pengunduh terenkripsi. Pengunduh, pada gilirannya, mengumpulkan dan mengekstrak informasi sistem ke server jauh yang kemudian merespons kembali dengan pemuat shellcode.

auditor kata sandi

Penggunaan salinan senjata dari dokumen resmi yang tampak sah juga menunjukkan bahwa “para penyerang pertama-tama harus menyerang departemen lain di negara yang ditargetkan, mencuri dan mempersenjatai dokumen untuk digunakan melawan Kementerian Luar Negeri,” kata Lotem Finkelsteen, kepala intelijen ancaman. di Titik Pemeriksaan.

Tautan terakhir dalam serangan itu melibatkan loader yang membuat koneksi dengan server jarak jauh untuk mengunduh, mendekripsi, dan menjalankan implan yang dijuluki “VictoryDll_x86.dll” yang mampu melakukan operasi file, menangkap tangkapan layar, membuat dan menghentikan proses, dan bahkan mematikan mesin yang terinfeksi.

Check Point mengatakan musuh melakukan upaya signifikan untuk menyembunyikan aktivitas mereka dengan mengubah infrastrukturnya beberapa kali sejak pengembangannya pada tahun 2017, dengan pintu belakang menerima bagian revisi yang adil untuk membuatnya lebih tahan terhadap analisis dan mengurangi tingkat deteksi di setiap tahap.

Kampanye yang telah berjalan lama telah dikaitkan dengan “kepercayaan sedang hingga tinggi” ke kelompok ancaman persisten tingkat lanjut (APT) Tiongkok yang disebutnya “SharpPanda” berdasarkan versi uji coba pintu belakang sejak 2018 yang diunggah ke VirusTotal dari Tiongkok dan penggunaan senjata Royal Road RTF oleh aktor, alat yang telah digunakan dalam kampanye yang dikaitkan dengan kelompok ancaman China yang terkenal sejak akhir 2018.

Beberapa petunjuk lain menunjukkan kesimpulan ini, termasuk fakta bahwa server command-and-control (C2) hanya mengembalikan muatan antara pukul 01:00 dan 08:00 UTC, yang menurut para peneliti adalah jam kerja di negara penyerang, dan bahwa tidak ada muatan yang dikembalikan oleh server C2 antara 1 dan 5 Mei — bahkan selama jam kerja — yang bertepatan dengan liburan Hari Buruh di Tiongkok.

Perkembangan tersebut merupakan indikasi lain bahwa beberapa kelompok ancaman siber yang diyakini bekerja untuk mendukung kepentingan ekonomi jangka panjang China terus menyerang jaringan milik pemerintah dan organisasi, sementara secara bersamaan menghabiskan banyak waktu untuk menyempurnakan alat di gudang senjata mereka. untuk menyembunyikan gangguan mereka.

“Semua bukti menunjukkan fakta bahwa kita berurusan dengan operasi yang sangat terorganisir yang menempatkan upaya signifikan untuk tetap berada di bawah radar,” kata Finkelsteen. “Secara keseluruhan, para penyerang, yang kami yakini sebagai kelompok ancaman China, sangat sistematis dalam pendekatan mereka.”

“Para penyerang tidak hanya tertarik pada data dingin, tetapi juga apa yang terjadi pada komputer pribadi target setiap saat, yang mengakibatkan spionase langsung. Meskipun kami dapat memblokir operasi pengawasan yang dijelaskan oleh pemerintah Asia Tenggara, ada kemungkinan bahwa kelompok ancaman menggunakan senjata spionase dunia maya barunya pada target lain di seluruh dunia,” tambahnya.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *