Seorang tersangka pelaku ancaman Tiongkok menargetkan sebuah organisasi besar AS awal tahun ini sebagai bagian dari intrusi selama empat bulan.
Menurut Symantec milik Broadcom, bukti pertama aktivitas jahat terdeteksi pada 11 April 2024 dan berlanjut hingga Agustus. Namun, perusahaan tidak menutup kemungkinan bahwa penyusupan tersebut mungkin terjadi lebih awal.
“Para penyerang bergerak secara lateral di seluruh jaringan organisasi, membahayakan banyak komputer,” kata Tim Pemburu Ancaman Symantec dalam sebuah laporan yang dibagikan kepada The Hacker News.
“Beberapa mesin yang ditargetkan adalah Exchange Server, yang menunjukkan bahwa penyerang mengumpulkan intelijen dengan mengumpulkan email. Alat eksfiltrasi juga dikerahkan, menunjukkan bahwa data yang ditargetkan diambil dari organisasi.”
Nama organisasi yang terkena dampak kampanye serangan terus-menerus ini tidak diungkapkan, namun disebutkan bahwa korbannya memiliki kehadiran yang signifikan di Tiongkok.
Tautan ke Tiongkok sebagai pelaku potensial berasal dari penggunaan DLL side-loading, yang merupakan taktik yang disukai di antara berbagai kelompok ancaman Tiongkok, dan keberadaan artefak yang sebelumnya diidentifikasi digunakan sehubungan dengan operasi yang disponsori negara dengan nama sandi Crimson Palace.
Hal menarik lainnya adalah bahwa organisasi tersebut menjadi sasaran pada tahun 2023 oleh seorang penyerang yang memiliki hubungan tentatif dengan kru peretas lain yang berbasis di Tiongkok bernama Daggerfly, yang juga disebut sebagai Bronze Highland, Evasive Panda, dan StormBamboo.
Selain menggunakan side-loading DLL untuk mengeksekusi muatan berbahaya, serangan ini juga memerlukan penggunaan alat sumber terbuka seperti FileZilla, Ipacket, dan PSCP, serta menggunakan program living-off-the-land (LotL) seperti Windows Management Instrumentation (WMI) , PsExec, dan PowerShell.
Mekanisme akses awal yang tepat yang digunakan untuk menembus jaringan masih belum diketahui pada tahap ini. Meskipun demikian, analisis Symantec menemukan bahwa mesin yang mendeteksi indikator penyusupan paling awal menyertakan perintah yang dijalankan melalui WMI dari sistem lain di jaringan.
“Fakta bahwa perintah tersebut berasal dari mesin lain di jaringan menunjukkan bahwa penyerang telah menyusupi setidaknya satu mesin lain di jaringan organisasi dan intrusi mungkin telah dimulai sebelum 11 April,” kata perusahaan itu.
Beberapa aktivitas jahat lainnya yang kemudian dilakukan oleh penyerang berkisar dari pencurian kredensial dan mengeksekusi file DLL berbahaya hingga menargetkan server Microsoft Exchange dan mengunduh alat seperti FileZilla, PSCP, dan WinRAR.
“Salah satu kelompok yang paling diminati oleh para penyerang adalah 'Exchange server', yang menunjukkan bahwa para penyerang berusaha menargetkan server email untuk mengumpulkan dan mungkin mengambil data email,” kata Symantec.
Perkembangan ini terjadi ketika Orange Cyberdefense merinci hubungan swasta dan publik dalam ekosistem serangan siber Tiongkok, sekaligus menyoroti peran yang dimainkan oleh universitas-universitas untuk penelitian keamanan dan kontraktor hack-for-hire untuk melakukan serangan di bawah arahan entitas negara.
“Dalam banyak kasus, individu terkait dengan [Ministry of State Security] atau [People’s Liberation Army] unit mendaftarkan perusahaan palsu untuk mengaburkan kaitan kampanye mereka dengan negara Tiongkok,” katanya.
“Perusahaan-perusahaan palsu ini, yang tidak terlibat dalam aktivitas yang benar-benar menghasilkan keuntungan, dapat membantu pengadaan infrastruktur digital yang diperlukan untuk melakukan serangan siber tanpa menarik perhatian yang tidak diinginkan. Mereka juga berfungsi sebagai garda depan untuk merekrut personel untuk peran yang mendukung operasi peretasan.”
