Kelompok spionase siber yang diduga merupakan kelompok spionase siber China-nexus telah dikaitkan dengan serangan yang menargetkan penyedia layanan TI bisnis-ke-bisnis besar di Eropa Selatan sebagai bagian dari kampanye dengan nama sandi Operasi Mata Digital.
Intrusi tersebut terjadi dari akhir Juni hingga pertengahan Juli 2024, kata perusahaan keamanan siber SentinelOne SentinelLabs dan Tinexta Cyber dalam laporan bersama yang dibagikan kepada The Hacker News, seraya menambahkan bahwa aktivitas tersebut terdeteksi dan dinetralkan sebelum dapat berlanjut ke fase eksfiltrasi data.
“Intrusi ini bisa memungkinkan musuh untuk membangun pijakan strategis dan mengkompromikan entitas hilir,” kata peneliti keamanan Aleksandar Milenkoski dan Luigi Martire.
“Pelaku ancaman menyalahgunakan Visual Studio Code dan infrastruktur Microsoft Azure untuk C2 [command-and-control] tujuan, mencoba menghindari deteksi dengan membuat aktivitas jahat tampak sah.”
Saat ini belum diketahui kelompok peretas mana yang terkait dengan Tiongkok yang berada di balik serangan tersebut, sebuah aspek yang diperumit oleh meluasnya penggunaan alat dan infrastruktur di antara para pelaku ancaman yang berasal dari negara Asia Timur.
Inti dari Operasi Digital Eye adalah penggunaan Microsoft Visual Studio Code Remote Tunnels untuk C2, sebuah fitur sah yang memungkinkan akses jarak jauh ke titik akhir, memberikan penyerang kemampuan untuk menjalankan perintah sewenang-wenang dan memanipulasi file.
Salah satu alasan mengapa peretas yang didukung pemerintah menggunakan infrastruktur cloud publik adalah agar aktivitas mereka menyatu dengan lalu lintas yang biasa dilihat oleh pembela jaringan. Selain itu, aktivitas tersebut menggunakan executable sah yang tidak diblokir oleh kontrol aplikasi dan aturan firewall.
Rantai serangan yang diamati oleh perusahaan memerlukan penggunaan injeksi SQL sebagai vektor akses awal untuk menembus aplikasi dan server database yang terhubung ke internet. Injeksi kode dilakukan melalui alat pengujian penetrasi sah yang disebut SQLmap yang mengotomatiskan proses mendeteksi dan mengeksploitasi kelemahan injeksi SQL.
Serangan yang berhasil diikuti dengan penerapan shell web berbasis PHP yang disebut PHPsert yang memungkinkan pelaku ancaman mempertahankan pijakan dan membangun akses jarak jauh yang persisten. Langkah selanjutnya meliputi pengintaian, pengambilan kredensial, dan perpindahan lateral ke sistem lain dalam jaringan menggunakan Remote Desktop Protocol (RDP) dan teknik pass-the-hash.
“Untuk serangan pass-the-hash, mereka menggunakan versi Mimikatz yang telah dimodifikasi,” kata para peneliti. Alat ini “memungkinkan eksekusi proses dalam konteks keamanan pengguna dengan memanfaatkan hash kata sandi NTLM yang telah dikompromikan, sehingga mengabaikan kebutuhan akan kata sandi pengguna yang sebenarnya.”
Kode sumber yang tumpang tindih menunjukkan bahwa alat yang dipesan tersebut berasal dari sumber yang sama dengan yang diamati secara eksklusif dalam dugaan aktivitas spionase dunia maya Tiongkok, seperti Operasi Soft Cell dan Operasi Tainted Love. Modifikasi Mimikatz khusus ini, yang juga mencakup sertifikat penandatanganan kode bersama dan penggunaan pesan kesalahan khusus yang unik atau teknik kebingungan, secara kolektif diberi judul mimCN.
“Evolusi jangka panjang dan pembuatan versi sampel mimCN, bersama dengan fitur-fitur penting seperti instruksi yang diberikan kepada tim operator terpisah, menunjukkan keterlibatan vendor bersama atau quartermaster digital yang bertanggung jawab atas pemeliharaan aktif dan penyediaan peralatan,” para peneliti ditunjukkan.
“Fungsi dalam ekosistem APT Tiongkok ini, yang diperkuat oleh kebocoran I-Soon, kemungkinan besar memainkan peran penting dalam memfasilitasi operasi spionase siber Tiongkok-nexus.”
Yang juga perlu diperhatikan adalah ketergantungan pada SSH dan Visual Studio Code Remote Tunnels untuk eksekusi perintah jarak jauh, dengan penyerang menggunakan akun GitHub untuk mengautentikasi dan menyambung ke terowongan guna mengakses titik akhir yang disusupi melalui Visual Studio Code versi berbasis browser ( “vskode[.]dev”).
Meskipun demikian, tidak diketahui apakah pelaku ancaman menggunakan akun GitHub yang baru didaftarkan sendiri atau sudah disusupi untuk mengautentikasi ke terowongan.
Selain mimCN, beberapa aspek lain yang mengarah ke Tiongkok adalah adanya komentar berbahasa Mandarin yang disederhanakan di PHPsert, penggunaan infrastruktur yang disediakan oleh penyedia layanan hosting Rumania M247, dan penggunaan Visual Studio Code sebagai pintu belakang, yang terakhir memiliki telah dikaitkan dengan aktor Mustang Panda.
Selain itu, penyelidikan menemukan bahwa para operator tersebut terutama aktif dalam jaringan organisasi yang menjadi sasaran selama jam kerja biasa di Tiongkok, sebagian besar antara pukul 09.00 hingga 21.00 CST.
“Kampanye ini menggarisbawahi sifat strategis dari ancaman ini, karena organisasi-organisasi yang melakukan pelanggaran yang menyediakan data, infrastruktur, dan solusi keamanan siber kepada industri lain memberikan para penyerang pijakan dalam rantai pasokan digital, sehingga memungkinkan mereka memperluas jangkauan mereka ke entitas-entitas hilir,” para peneliti dikatakan.
“Penyalahgunaan Terowongan Jarak Jauh Visual Studio Code dalam kampanye ini menggambarkan bagaimana kelompok APT Tiongkok sering mengandalkan pendekatan praktis dan berorientasi solusi untuk menghindari deteksi. Dengan memanfaatkan alat dan infrastruktur pengembangan yang tepercaya, pelaku ancaman bertujuan untuk menyamarkan aktivitas jahat mereka sebagai aktivitas yang sah. .”
