Serangan ransomware dunia RA pada bulan November 2024 yang menargetkan perusahaan perangkat lunak dan jasa Asia yang tidak disebutkan namanya melibatkan penggunaan alat jahat yang secara eksklusif digunakan oleh kelompok spionase cyber yang berbasis di China, meningkatkan kemungkinan bahwa aktor ancaman mungkin menjadi moonlight sebagai pemain ransomware dalam seorang individu kapasitas.
“Selama serangan pada akhir 2024, penyerang mengerahkan toolset berbeda yang sebelumnya telah digunakan oleh aktor yang terkait dengan China dalam serangan spionase klasik,” tim Hunter Ancaman Symantec, bagian dari Broadcom, mengatakan dalam sebuah laporan yang dibagikan kepada Hacker News .
“Dalam semua intrusi sebelumnya yang melibatkan toolset, penyerang tampaknya terlibat dalam spionase klasik, tampaknya hanya tertarik untuk mempertahankan kehadiran yang terus -menerus pada organisasi yang ditargetkan dengan memasang pintu belakang.”
Ini termasuk kompromi Juli 2024 dari Kementerian Luar Negeri suatu negara di Eropa Tenggara yang melibatkan penggunaan teknik pemuatan sisi klasik DLL untuk menggunakan Plugx (alias KorPLUG), sebuah malware berulang kali digunakan oleh Mustang Panda (alias Fireant dan Reddelta) aktor) .
Secara khusus, rantai serangan mensyaratkan penggunaan Toshiba yang sah yang dapat dieksekusi bernama “toshdpdb.exe” untuk mengidap DLL jahat bernama “toshdpapi.dll,” yang, pada gilirannya, bertindak sebagai saluran untuk memuat muatan plugx yang dienkripsi.
Intrusi lain yang terkait dengan toolset yang sama telah diamati sehubungan dengan serangan yang menargetkan dua entitas pemerintah yang berbeda di Eropa tenggara dan Asia Tenggara pada Agustus 2024, seorang operator telekomunikasi pada September 2024, dan kementerian pemerintah lainnya di negara Asia Tenggara yang berbeda pada Januari 2025.
Namun, Symantec mencatat bahwa mereka mengamati varian plugx yang digunakan pada November 2024 sebagai bagian dari kampanye pemerasan kriminal terhadap perusahaan perangkat lunak dan jasa berukuran sedang di Asia Selatan.
Tidak jelas bagaimana jaringan perusahaan dikompromikan, meskipun penyerang mengklaim telah melakukannya dengan mengeksploitasi cacat keamanan yang diketahui di Palo Alto Networks Pan-OS Software (CVE-2024-0012). Serangan itu memuncak dengan mesin yang dienkripsi dengan ransomware dunia RA, tetapi tidak sebelum biner Toshiba digunakan untuk meluncurkan malware plugx.
Pada titik ini, perlu dicatat bahwa analisis sebelumnya dari Cisco Talos dan Palo Alto Networks Unit 42 telah mengungkap Tradecraft yang tumpang tindih antara RA World (sebelumnya disebut RA Group) dan kelompok ancaman Tiongkok yang dikenal sebagai Bronze Starlight (alias Storm-401 dan Emperor Dragononfly)) Itu memiliki sejarah menggunakan keluarga ransomware yang berumur pendek.
Meskipun tidak diketahui mengapa aktor spionase juga melakukan serangan yang termotivasi secara finansial, Symantec berteori bahwa aktor tunggal kemungkinan berada di balik upaya tersebut dan bahwa mereka berusaha untuk membuat beberapa keuntungan cepat di samping. Penilaian ini juga sejalan dengan analisis Sygnia tentang Kaisar Capung pada Oktober 2022, yang digambarkan sebagai “aktor ancaman tunggal.”
Bentuk cahaya bulan ini, sementara jarang diamati dalam ekosistem peretasan Cina, jauh lebih umum di antara para aktor ancaman dari Iran dan Korea Utara.
“Bentuk lain dari kegiatan yang termotivasi secara finansial mendukung tujuan negara adalah kelompok yang misi utamanya mungkin adalah spionase yang disponsori negara, baik secara diam-diam maupun eksplisit, diizinkan untuk melakukan operasi yang termotivasi secara finansial untuk menambah pendapatan mereka,” kata Google Ancaman Intelijen (GTIG) dalam Laporan yang diterbitkan minggu ini.
“Ini dapat memungkinkan pemerintah untuk mengimbangi biaya langsung yang akan diperlukan untuk mempertahankan kelompok dengan kemampuan yang kuat.”
Topan garam mengeksploitasi perangkat Cisco yang rentan untuk melanggar telekomunikasi
Perkembangan ini datang sebagai kelompok peretasan negara-bangsa Cina yang disebut topan garam telah dikaitkan dengan serangkaian serangan dunia maya yang memanfaatkan kelemahan keamanan yang diketahui pada perangkat jaringan Cisco (CVE-2023-20198 dan CVE-2023-20273) untuk menembus banyak Jaringan.
Kegiatan cyber jahat dinilai telah memilih afiliasi yang berbasis di AS dari penyedia telekomunikasi yang berbasis di Inggris, penyedia telekomunikasi Afrika Selatan, dan layanan internet Italia, dan penyedia telekomunikasi Thailand yang besar berdasarkan komunikasi yang terdeteksi antara perangkat Cisco yang terinfeksi Thailand Thailand yang terinfeksi Thailand besar Thailand dan infrastruktur aktor ancaman.
Serangan terjadi antara 4 Desember 2024, dan 23 Januari 2025, kata Grup Insikt Future Future, menambahkan musuh, juga dilacak sebagai Earth Estries, FamousSparrow, Ghostemperor, Redmike, dan UNC2286, berusaha mengeksploitasi lebih dari 1.000 perangkat Cisco secara global secara global Selama kerangka waktu.
Lebih dari setengah peralatan Cisco yang ditargetkan terletak di AS, Amerika Selatan, dan India. Dalam apa yang tampaknya menjadi perluasan fokus penargetan, topan garam juga telah diamati perangkat yang terkait dengan lebih dari selusin universitas di Argentina, Bangladesh, Indonesia, Malaysia, Meksiko, Belanda, Thailand, AS, dan Vietnam.
“Redmike mungkin menargetkan universitas -universitas ini untuk mengakses penelitian di bidang -bidang yang terkait dengan telekomunikasi, teknik, dan teknologi, terutama di lembaga -lembaga seperti UCLA dan Tu Delft,” kata perusahaan itu.
Kompromi yang berhasil diikuti oleh aktor ancaman menggunakan hak istimewa yang ditinggikan untuk mengubah konfigurasi perangkat dan menambahkan terowongan enkapsulasi routing generik (GRE) untuk akses persisten dan eksfiltrasi data antara perangkat Cisco yang dikompromikan dan infrastrukturnya.
Menggunakan peralatan jaringan yang rentan sebagai titik masuk untuk menargetkan korban telah menjadi semacam buku pedoman standar untuk topan garam dan kelompok peretasan Cina lainnya seperti Topan Volt, sebagian karena fakta bahwa mereka tidak memiliki kontrol keamanan dan tidak didukung oleh deteksi dan respons titik akhir (EDR) Solusi.
Untuk mengurangi risiko yang ditimbulkan oleh serangan semacam itu, disarankan agar organisasi memprioritaskan penerapan tambalan keamanan yang tersedia dan pembaruan ke perangkat jaringan yang dapat diakses secara publik dan menghindari mengekspos antarmuka administratif atau layanan non-esensial ke Internet, terutama bagi mereka yang telah mencapai akhir- Hidup (EOL).
