Aktor negara-bangsa Tiongkok yang produktif yang dikenal sebagai APT41 (alias Brass Typhoon, Earth Baku, Wicked Panda, atau Winnti) telah dikaitkan dengan serangan siber canggih yang menargetkan industri perjudian dan permainan.
“Selama setidaknya enam bulan, para penyerang diam-diam mengumpulkan informasi berharga dari perusahaan yang ditargetkan termasuk, namun tidak terbatas pada, konfigurasi jaringan, kata sandi pengguna, dan rahasia dari proses LSASS,” Ido Naor, salah satu pendiri dan CEO Perusahaan keamanan siber Israel, Security Joes, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
“Selama penyusupan, para penyerang terus memperbarui perangkat mereka berdasarkan respons tim keamanan. Dengan mengamati tindakan para pembela HAM, mereka mengubah strategi dan alat mereka untuk melewati deteksi dan mempertahankan akses terus-menerus ke jaringan yang disusupi.”
Serangan multi-tahap, yang menargetkan salah satu kliennya dan berlangsung hampir sembilan bulan pada tahun ini, menunjukkan tumpang tindih dengan rangkaian intrusi yang dilacak oleh vendor keamanan siber Sophos dengan nama Operation Crimson Palace.
Naor mengatakan perusahaannya menanggapi insiden tersebut empat bulan lalu, dan menambahkan “serangan ini bergantung pada pengambil keputusan yang disponsori negara. Kali ini kami menduga dengan keyakinan tinggi bahwa APT41 bertujuan untuk mendapatkan keuntungan finansial.”
Kampanye ini dirancang dengan mempertimbangkan taktik tersembunyi, memanfaatkan serangkaian taktik untuk mencapai tujuannya dengan menggunakan perangkat khusus yang tidak hanya melewati perangkat lunak keamanan yang terpasang di lingkungan, namun juga mengumpulkan informasi penting dan membangun saluran rahasia untuk akses jarak jauh yang persisten.
Security Joes menggambarkan APT41 sebagai “sangat terampil dan metodis,” menunjukkan kemampuannya untuk melakukan serangan spionase serta meracuni rantai pasokan, sehingga mengarah pada pencurian kekayaan intelektual dan intrusi bermotif finansial seperti ransomware dan penambangan mata uang kripto.
Vektor akses awal yang tepat yang digunakan dalam serangan tersebut saat ini tidak diketahui, namun bukti menunjukkan bahwa serangan tersebut merupakan email spear-phishing, mengingat tidak adanya kerentanan aktif dalam aplikasi web yang terhubung ke internet atau gangguan pada rantai pasokan.
“Saat berada di dalam infrastruktur yang ditargetkan, penyerang mengeksekusi serangan DCSync, yang bertujuan untuk mengambil hash kata sandi akun layanan dan admin untuk memperluas akses mereka,” kata perusahaan itu dalam laporannya. “Dengan kredensial ini, mereka membangun kegigihan dan mempertahankan kendali atas jaringan, dengan fokus khususnya pada akun administratif dan pengembang.”
Para penyerang dikatakan telah melakukan aktivitas pengintaian dan pasca-eksploitasi secara metodis, sering kali mengubah perangkat mereka sebagai respons terhadap langkah-langkah yang diambil untuk melawan ancaman dan meningkatkan hak istimewa mereka dengan tujuan akhir mengunduh dan mengeksekusi muatan tambahan.
Beberapa teknik yang digunakan untuk mencapai tujuan mereka termasuk Pembajakan Phantom DLL dan penggunaan utilitas wmic.exe yang sah, belum lagi menyalahgunakan akses mereka ke akun layanan dengan hak administrator untuk memicu eksekusi.
Tahap berikutnya adalah file DLL berbahaya bernama TSVIPSrv.dll yang diambil melalui protokol SMB, setelah itu payload menjalin kontak dengan server perintah dan kontrol (C2) yang dikodekan secara keras.
“Jika C2 hardcoded gagal, implan mencoba memperbarui informasi C2-nya dengan menghapus pengguna GitHub menggunakan URL berikut: github[.]com/search?o=desc&q=pointers&s=bergabung&type=Pengguna&.”
“Malware ini mem-parsing HTML yang dikembalikan dari kueri GitHub, mencari rangkaian kata-kata dengan huruf kapital yang hanya dipisahkan oleh spasi. Ia mengumpulkan delapan kata tersebut, kemudian hanya mengekstrak huruf kapital antara A dan P. Proses ini menghasilkan string 8 karakter, yang mengkodekan alamat IP server C2 baru yang akan digunakan dalam serangan itu.”
Kontak awal dengan server C2 membuka jalan untuk membuat profil sistem yang terinfeksi dan mengambil lebih banyak malware untuk dieksekusi melalui koneksi soket.
Security Joes mengatakan bahwa pelaku ancaman terdiam selama beberapa minggu setelah aktivitas mereka terdeteksi, namun akhirnya kembali dengan pendekatan yang diperbarui untuk mengeksekusi kode JavaScript yang sangat dikaburkan yang ada dalam versi modifikasi dari file XSL (“texttable.xsl”) menggunakan LOLBIN wmic.exe.
“Setelah perintah WMIC.exe MEMORYCHIP GET diluncurkan, secara tidak langsung memuat file texttable.xsl untuk memformat output, memaksa eksekusi kode JavaScript berbahaya yang disuntikkan oleh penyerang,” jelas para peneliti.
JavaScript, pada bagiannya, berfungsi sebagai pengunduh yang menggunakan domain time.qnapntp[.]com sebagai server C2 untuk mengambil payload lanjutan yang mengambil sidik jari mesin dan mengirimkan informasi kembali ke server, tunduk pada kriteria pemfilteran tertentu yang kemungkinan berfungsi untuk menargetkan hanya mesin yang menjadi kepentingan pelaku ancaman.
“Apa yang benar-benar menonjol dalam kode ini adalah penargetan yang disengaja terhadap mesin dengan alamat IP yang mengandung substring '10.20.22',” kata para peneliti. “
“Ini menyoroti perangkat spesifik mana yang berharga bagi penyerang, yaitu yang ada di subnet 10.20.22[0-9].[0-255]. Dengan mengkorelasikan informasi ini dengan log jaringan dan alamat IP perangkat tempat file ditemukan, kami menyimpulkan bahwa penyerang menggunakan mekanisme pemfilteran ini untuk memastikan hanya perangkat dalam subnet VPN yang terpengaruh.”
