Peretas Tiongkok Menargetkan Perusahaan Telekomunikasi Besar Asia Tenggara

  • Whatsapp
Peretas Tiongkok Menargetkan Perusahaan Telekomunikasi Besar Asia Tenggara

Tiga kelompok aktivitas berbahaya yang beroperasi atas nama kepentingan negara China telah melakukan serangkaian serangan untuk menargetkan jaringan milik setidaknya lima perusahaan telekomunikasi besar yang berlokasi di negara-negara Asia Tenggara sejak 2017.

“Tujuan para penyerang di balik penyusupan ini adalah untuk mendapatkan dan mempertahankan akses berkelanjutan ke penyedia telekomunikasi dan untuk memfasilitasi spionase dunia maya dengan mengumpulkan informasi sensitif, membahayakan aset bisnis profil tinggi seperti server penagihan yang berisi data Call Detail Record (CDR), serta komponen jaringan utama seperti Pengontrol Domain, Server Web, dan server Microsoft Exchange,” Lior Rochberger dari Cybereason, Tom Fakterman, Daniel Frank, dan Assaf Dahan mengungkapkan dalam analisis teknis yang diterbitkan Selasa.

Bacaan Lainnya

Tim Stack Overflow

Perusahaan keamanan siber yang berbasis di Boston menghubungkan kampanye tersebut dengan tiga aktor ancaman Tiongkok yang berbeda, yaitu galium (alias Sel Lunak), Naikon APT (alias APT30 atau Lotus Panda), dan TG-3390 (alias APT27 atau Utusan Panda).

Aktivitas di sekitar yang terakhir dari tiga kelompok dimulai pada tahun 2017, sementara serangan terkait Gallium pertama kali diamati pada Q4 2020, dengan kelompok Naikon melompat pada kereta musik eksploitasi terakhir pada Q4 2020. Ketiga operasi spionase diyakini telah melanjutkan semua operasi spionase. menuju pertengahan 2021.

Menyebut penyerang “sangat adaptif,” para peneliti menyebut upaya rajin mereka untuk tetap berada di bawah radar dan mempertahankan kegigihan pada titik akhir yang terinfeksi, sambil secara bersamaan mengubah taktik dan memperbarui langkah-langkah pertahanan mereka untuk berkompromi dan membuka pintu belakang server email Microsoft Exchange yang belum ditambal menggunakan eksploitasi ProxyLogon yang terungkap awal Maret ini.

“Setiap fase operasi menunjukkan kemampuan beradaptasi penyerang dalam cara mereka merespons berbagai upaya mitigasi, mengubah infrastruktur, perangkat, dan teknik sambil berusaha menjadi lebih tersembunyi,” catat para peneliti.

Naikon, di sisi lain, ditemukan memanfaatkan backdoor bernama “Nebulae” serta keylogger yang sebelumnya tidak berdokumen yang dijuluki “EnrollLoger” pada aset profil tinggi yang dipilih. Perlu ditunjukkan bahwa penggunaan Nebula oleh Naikon pertama kali muncul pada April 2021 ketika musuh dikaitkan sebagai di balik kampanye spionase dunia maya yang luas yang menargetkan organisasi militer di Asia Tenggara.

Mencegah Serangan Ransomware

Terlepas dari rantai serangan, kompromi yang berhasil memicu serangkaian langkah, memungkinkan pelaku ancaman untuk melakukan pengintaian jaringan, pencurian kredensial, pergerakan lateral, dan eksfiltrasi data.

Cluster Utusan Panda adalah yang tertua dari ketiganya, terutama melibatkan penyebaran pintu belakang OWA (Outlook Web Access) berbasis .NET khusus, yang digunakan untuk mencuri kredensial pengguna yang masuk ke layanan Microsoft OWA, memberikan penyerang kemampuan untuk mengakses lingkungan secara diam-diam.

Yang juga perlu diperhatikan adalah tumpang tindih antara cluster dalam hal viktimologi dan penggunaan alat generik seperti Mimikatz, dengan tiga kelompok terdeteksi di lingkungan target yang sama, di sekitar jangka waktu yang sama, dan bahkan pada sistem yang sama.

“Pada titik ini, tidak ada informasi yang cukup untuk menentukan dengan pasti sifat tumpang tindih ini — yaitu, apakah klaster ini mewakili pekerjaan tiga aktor ancaman berbeda yang bekerja secara independen, atau apakah klaster ini mewakili pekerjaan tiga tim berbeda yang beroperasi atas nama. dari aktor ancaman tunggal,” kata para peneliti.

“Hipotesis kedua adalah bahwa ada dua atau lebih aktor ancaman China dengan agenda/tugas berbeda yang menyadari pekerjaan masing-masing dan bahkan berpotensi bekerja bersama-sama.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *