Sebuah perusahaan telekomunikasi besar yang berlokasi di Asia diduga dilanggar oleh peretas yang disponsori negara China yang menghabiskan lebih dari empat tahun di dalam sistemnya, menurut laporan baru dari perusahaan respons insiden Sygnia.
Perusahaan Cybersecurity sedang melacak aktivitas di bawah namanya Ant Weavermenggambarkan aktor ancaman sebagai sembunyi -sembunyi dan sangat gigih. Nama penyedia telekomunikasi tidak diungkapkan.
“Menggunakan cangkang web dan terowongan, para penyerang mempertahankan kegigihan dan memfasilitasi spionase cyber,” kata Sygnia. “Kelompok di balik intrusi ini […] bertujuan untuk mendapatkan dan mempertahankan akses berkelanjutan ke penyedia telekomunikasi dan memfasilitasi spionase cyber dengan mengumpulkan informasi sensitif. “
Rantai serangan dikatakan telah melibatkan eksploitasi aplikasi yang menghadap publik untuk menjatuhkan dua kerang web yang berbeda, varian terenkripsi dari China Chopper dan alat berbahaya yang sebelumnya tidak berdokumen yang dijuluki di dalam. Perlu dicatat bahwa China Chopper telah digunakan oleh beberapa kelompok peretasan Cina di masa lalu.
InMemory, sesuai namanya, dirancang untuk memecahkan kode string yang dikodekan base64 dan menjalankannya sepenuhnya dalam memori tanpa menulisnya ke disk, sehingga tidak meninggalkan jejak forensik.
“Web Shell 'InMemory' mengeksekusi kode C# yang terkandung dalam portabel yang dapat dieksekusi (PE) bernama 'Eval.dll,' yang akhirnya menjalankan muatan yang dikirimkan melalui permintaan HTTP,” kata Sygnia.
Kerang web telah ditemukan bertindak sebagai batu loncatan untuk memberikan muatan tahap berikutnya, yang paling terkenal adalah alat terowongan HTTP rekursif yang digunakan untuk memfasilitasi pergerakan lateral melalui SMB, taktik yang sebelumnya diadopsi oleh aktor ancaman lain seperti gajah kumbang.
Terlebih lagi, lalu lintas terenkripsi melewati terowongan shell web berfungsi sebagai saluran untuk melakukan serangkaian tindakan pasca -eksploitasi, termasuk –
- Patching Event Tracing untuk Windows (ETW) dan Antimalware Scan Interface (AMSI) untuk deteksi bypass
- Menggunakan System.Management.Automation.dll untuk melaksanakan perintah PowerShell tanpa memulai Powershell.exe, dan
- Melaksanakan perintah pengintaian terhadap lingkungan direktori aktif yang dikompromikan untuk mengidentifikasi akun privilege tinggi dan server kritis
Sygnia mengatakan Weaver Ant memamerkan ciri khas yang biasanya terkait dengan kelompok spionase cyber China-Nexus karena pola penargetan dan tujuan kampanye yang “terdefinisi dengan baik”.
Tautan ini juga dibuktikan dengan kehadiran China Chopper Web Shell, penggunaan jaringan Operational Relay Box (ORB) yang terdiri dari router zyxel untuk proxy lalu lintas dan mengaburkan infrastruktur mereka, jam kerja para peretas, dan penyebaran pintu belakang berbasis Outlook yang sebelumnya dikaitkan dengan hasil utas.
“Sepanjang periode ini, Weaver Ant mengadaptasi TTP mereka ke lingkungan jaringan yang berkembang, menggunakan metode inovatif untuk mendapatkan kembali akses dan mempertahankan pijakan mereka,” kata perusahaan itu. “Modus operandi set intrusi Cina-Nexus biasanya melibatkan berbagi alat, infrastruktur, dan kadang-kadang tenaga kerja-seperti melalui kontraktor bersama.”
China mengidentifikasi 4 peretas Taiwan yang diduga di belakang spionase
Pengungkapan itu terjadi beberapa hari setelah Kementerian Keamanan Negara (MSS) China menuduh empat orang konon terkait dengan militer Taiwan melakukan serangan cyber terhadap daratan. Taiwan telah membantah tuduhan itu.
MSS mengatakan keempat individu tersebut adalah anggota Informasi, Komunikasi, dan Komando Kekuatan Elektronik (ICEFCOM), dan bahwa entitas terlibat dalam serangan phishing, email propaganda yang menargetkan lembaga pemerintah dan militer, dan kampanye disinformasi menggunakan alias media sosial.
Intrusi juga diduga melibatkan penggunaan alat open-source yang luas seperti Antsword Web Shell, IceScorpion, Metasploit, dan Quasar Rat.
“'Informasi, Komando Komunikasi dan Kekuatan Elektronik' telah secara khusus menyewa peretas dan perusahaan keamanan siber sebagai dukungan eksternal untuk melaksanakan arahan perang cyber yang dikeluarkan oleh otoritas Partai Progresif Demokratik (DPP),” katanya. “Kegiatan mereka termasuk spionase, sabotase, dan propaganda.”
Bertepatan dengan pernyataan MSS, perusahaan cybersecurity Cina Qianxin dan Antiy memiliki rinci serangan phishing tombak yang diatur oleh aktor ancaman Taiwan dan codin q-20 (alias apt-c-01, greenspot seperti cobal vine, dan lumba-lumba cobal dan cobal cobal dan cobal cobal dan cobal cobal dan cobal cobal dan cobal cobal cobal dan cobal cobal dan co8 coid-co. dan Sliver.
Metode akses awal lainnya mensyaratkan eksploitasi kerentanan keamanan n-hari dan kata sandi yang lemah di perangkat Internet of Things seperti router, kamera, dan firewall, qianxin menambahkan, mengkarakterisasi kegiatan aktor ancaman sebagai “tidak terlalu pintar.”
