Sebuah kelompok spionase Tiongkok yang sebelumnya tidak teridentifikasi telah berhasil menembus setidaknya 70 organisasi di 23 negara, termasuk 48 organisasi di pemerintahan, meskipun menggunakan taktik, teknik, dan prosedur (TTP) dengan tarif standar.
“Earth Krahang” tampaknya bukan APT militer tingkat tinggi. Di dalam sebuah laporan baru, peneliti dari Trend Micro berpendapat bahwa ini mungkin salah satu sayapnya iSoon, operasi peretasan pribadi untuk disewa dikontrak oleh Partai Komunis Tiongkok (PKT). Dan sesuai dengan operasi kejahatan dunia maya, alih-alih menggunakan malware yang sangat canggih dan taktik sembunyi-sembunyi, mereka menggunakan segudang alat yang sebagian besar bersifat open source dan terdokumentasi dengan baik, ditambah kerentanan satu hari dan rekayasa sosial standar, untuk mengalahkan targetnya.
Meskipun demikian, daftar korbannya menyaingi daftar korban lainnya Topan Volt, Teknologi Hitam, dan Mustang Panda.
Setelah menargetkan tidak kurang dari 116 organisasi di 35 negara, kelompok ini telah mengkonfirmasi setidaknya 70 kompromi, termasuk empat lusin organisasi yang terkait dengan berbagai pemerintah dunia. Dalam satu kasus, mereka berhasil membobol berbagai organisasi yang terhubung dengan 11 kementerian pemerintah. Korbannya juga mencakup sektor pendidikan dan telekomunikasi, keuangan, TI, olahraga, dan banyak lagi. Konsentrasi korban tertinggi berasal dari Asia, namun kasus juga mencakup Amerika (Meksiko, Brasil, Paraguay), Eropa (Inggris, Hongaria), dan Afrika (Mesir, Afrika Selatan).
“Penggunaan alat sumber terbuka untuk menyusupi entitas pemerintah merupakan hal yang penting, namun tidak sepenuhnya mengejutkan,” kata Callie Guenther, manajer senior penelitian ancaman siber di Critical Start. “Pemerintah sering kali memiliki infrastruktur TI yang luas dan kompleks, yang dapat menyebabkan inkonsistensi dalam praktik keamanan dan menyulitkan pertahanan terhadap semua jenis serangan, termasuk serangan yang menggunakan alat dasar sumber terbuka.”
Taktik Intrusi Bumi Krahang
Beberapa APT Tiongkok yang sukses membedakan dirinya dengan zero-day yang unik or taktik rumit yang mereka lakukan lebih baik dari orang lain.
Earth Krahang lebih merupakan pusat segala hal.
Langkah pertamanya adalah memindai Web untuk mencari server-server yang berhubungan dengan publik, misalnya server yang terhubung dengan organisasi pemerintah. Untuk memeriksa kerentanan yang dapat dimanfaatkan, ia menggunakan salah satu dari sejumlah alat open source yang tersedia, termasuk sqlmap, nuklei, xray, vscan, pocsuite, dan wordpressscan. Dua bug khususnya yang suka dimangsa oleh Earth Krahang adalah CVE-2023-32315 — bug eksekusi perintah di server kolaborasi real-time Openfire dengan rating 7.5 oleh CVSS — dan CVE-2022-21587 — masalah eksekusi perintah kritis dengan rating 9.8 dengan Integrator Desktop Aplikasi Web di Oracle E-Business Suite.
Setelah menetapkan pijakan di server publik, grup tersebut menggunakan lebih banyak perangkat lunak sumber terbuka untuk memindai file sensitif, kata sandi (khususnya untuk email), dan sumber daya berguna lainnya, seperti subdomain yang sepi yang mungkin mengarah ke server yang tidak dikelola lebih lanjut. Ia juga menggunakan sejumlah serangan brute force — misalnya, menggunakan daftar kata sandi umum untuk memecahkan server Microsoft Exchange melalui Outlook di Web.
“Meskipun tampaknya open source mudah dideteksi,” kata Jon Clay, wakil presiden intelijen ancaman di Trend Micro, “kenyataannya adalah ada banyak TTP di sini yang harus ditemukan dan dideteksi. Selain itu, penggunaan taktik penghindaran pertahanan oleh musuh ini dapat dimanfaatkan untuk memastikan korban tidak mampu bertahan.”
Eksploitasi dan Taktik Siluman Bumi Krahang
Pada akhir semua ini (dan banyak lagi), penyerang dapat melakukan dua tindakan utama: menjatuhkan pintu belakang pada server yang disusupi, dan membajak akun email.
Yang terakhir ini sangat berguna. “Penggunaan sistem dan akun email yang sah untuk mendukung serangan mereka sangat menarik di sini, karena musuh ini menggunakan akun yang sah untuk menipu korban agar berpikir bahwa mereka aman,” jelas Clay. Dengan daftar kontak bernilai tinggi dan legitimasi yang diperoleh dengan menggunakan akun yang bonafid, kelompok ini mengirimkan email dengan baris subjek yang sesuai dengan kebutuhan – seperti “Surat Edaran Kementerian Pertahanan Malaysia” – URL atau lampiran berbahaya dan nama file yang sesuai. hal yang sama — misalnya “Pada kunjungan Menteri Luar Negeri Paraguay ke Turkmenistan.exe.”
Baik melalui email atau kerentanan di server Web, berbagai target Earth Krahang akhirnya mengunduh satu atau beberapa pintu belakang.
Dalam serangan paling awal, sekitar tahun 2022, kelompok ini menggunakan “RESHELL,” alat .NET sederhana yang dibuat khusus untuk mengumpulkan informasi, menjatuhkan file, dan menjalankan perintah sistem, dengan komunikasi perintah dan kontrol (C2) terenkripsi AES.
Pada tahun 2023, grup ini berpindah ke “XDealer,” yang memiliki kemampuan lebih lanjut termasuk keylogging, tangkapan layar, dan mencuri dari clipboard. Selain kompatibel dengan Windows dan Linux, XDealer juga terkenal karena beberapa loadernya berisi sertifikat penandatanganan kode yang valid. Trend Micro berspekulasi bahwa sertifikat ini – satu milik perusahaan sumber daya manusia yang sah, dan satu lagi milik perusahaan pengembangan game – kemungkinan besar dicuri untuk memberikan lapisan perlindungan tambahan saat mengunduh malware ke sistem baru.
Bumi Krahang juga telah memanfaatkannya ancaman kuno seperti PlugX dan shadowpad, dan sering kali menerapkan Cobalt Strike bersama dengan alat sumber terbuka lainnya (RedGuard) yang mencegah analis keamanan siber menemukan infrastruktur C2-nya.
Karena pelaku ancaman relatif langsung, Guenther menyarankan bahwa “praktik terbaik standar direkomendasikan untuk melindungi terhadap TTP ini. Organisasi harus meningkatkan keamanan email mereka untuk bertahan melawan spear phishing, memperbarui dan menambal sistem mereka secara berkala untuk melindungi dari kerentanan yang diketahui, dan menerapkan segmentasi jaringan untuk membatasi penyebaran penyerang dalam jaringan mereka. Pemantauan lalu lintas jaringan yang tidak normal dan pola akses yang tidak biasa juga dapat membantu dalam deteksi dini kampanye semacam itu.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/threat-intelligence/chinese-apt-earth-krahang-compromised-48-gov-orgs-5-continents
