Peretas Spionase Tiongkok Menargetkan Orang Tibet Menggunakan Pintu Belakang LOWZERO Baru

  • Whatsapp
Chinese Espionage Hackers
Peretas Spionase Tiongkok Menargetkan Orang Tibet Menggunakan Pintu Belakang LOWZERO

News.nextcloud.asia –

Peretas Spionase Tiongkok

Seorang aktor ancaman gigih canggih bersekutu dengan China yang dikenal sebagai TA413 yang dipersenjatai baru-baru ini mengungkapkan kelemahan di Sophos Firewall dan Microsoft Office untuk menyebarkan pintu belakang yang belum pernah dilihat sebelumnya yang disebut RENDAH sebagai bagian dari kampanye spionase yang ditujukan pada entitas Tibet.

Target utamanya terdiri dari organisasi yang terkait dengan komunitas Tibet, termasuk perusahaan yang terkait dengan pemerintah Tibet di pengasingan.

Intrusi melibatkan eksploitasi CVE-2022-1040 dan CVE-2022-30190 (alias “Follina”), dua kerentanan eksekusi kode jarak jauh di Sophos Firewall dan Microsoft Office, masing-masing.

Keamanan cyber

“Kesediaan untuk secara cepat menggabungkan teknik dan metode baru dari akses awal kontras dengan penggunaan terus menerus dari kemampuan yang terkenal dan dilaporkan, seperti senjata RTF Royal Road, dan kecenderungan pengadaan infrastruktur yang sering lemah,” Recorded Future dikatakan dalam analisis teknis baru.

TA413, juga dikenal sebagai LuckyCat, telah dikaitkan dengan tanpa henti menargetkan organisasi dan individu yang terkait dengan komunitas Tibet setidaknya sejak 2020 menggunakan malware seperti ExileRAT, Sepulcher, dan ekstensi browser Mozilla Firefox berbahaya yang dijuluki FriarFox.

Peretas Spionase Tiongkok

Eksploitasi kelompok terhadap kelemahan Follina sebelumnya disorot oleh Proofpoint pada Juni 2022, meskipun tujuan akhir akhir dari rantai infeksi tetap tidak jelas.

Juga digunakan dalam serangan spear-phishing yang diidentifikasi pada Mei 2022 adalah dokumen RTF berbahaya yang mengeksploitasi kelemahan di Microsoft Equation Editor untuk menghapus implan LOWZERO kustom. Hal ini dicapai dengan menggunakan Alat senjata RTF Royal Roadyang dibagikan secara luas di antara aktor ancaman Tiongkok.

Keamanan cyber

Dalam email phishing lain yang dikirim ke target Tibet pada akhir Mei, lampiran Microsoft Word yang dihosting di layanan Google Firebase mencoba memanfaatkan kerentanan Follina untuk menjalankan perintah PowerShell yang dirancang untuk mengunduh pintu belakang dari server jauh.

LOWZERO, backdoor, mampu menerima modul tambahan dari server command-and-control (C2), tetapi hanya dengan syarat bahwa mesin yang disusupi dianggap menarik bagi pelaku ancaman.

“Grup ini terus menggabungkan kemampuan baru sambil juga mengandalkan[taktikteknikdanproseduryangtelahteruji”kataperusahaankeamanansiberitu[tacticstechniquesandprocedures”thecybersecurityfirmsaid

“Adopsi TA413 dari kerentanan zero-day dan yang baru-baru ini diterbitkan merupakan indikasi dari lebih luas tren dengan kelompok spionase siber Tiongkok di mana eksploitasi secara teratur muncul digunakan oleh beberapa kelompok aktivitas Tiongkok yang berbeda sebelum ketersediaan publik mereka tersebar luas.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *