Penelitian baru menemukan penjahat yang diduga ada hubungannya dengan Cina yang telah berada di balik kampanye cyberespionage, menargetkan organisasi militer di Asia Tenggara selama hampir dua tahun.
Serangan tersebut dikaitkan terhadap aktor ancaman yang dijuluki “Naikon APT,” Bitdefender melihat taktik, teknik dan prosedur yang terus berubah dan diadopsi oleh kelompok itu.
Hal ini juga menyangkut penemuan backdoor terbaru, yaitu “Nebulae” dan “RainyDay” yang bertujuan untuk misi pencurian data.
Kegiatan jahat tersebut telah dilakukan antara Juni 2019 dan Maret 2021.
“Pada awal operasi, para pelaku ancaman menggunakan Aria-Body loader dan Nebulae sebagai tahap pertama serangan,” kata para peneliti.
Naikon (alias Override Panda, Lotus Panda atau Hellsing) menargetkan entitas pemerintah di kawasan Asia-Pacific( APAC) untuk mencari kecerdasan geopolitik.
Meskipun awalnya diasumsikan telah hilang dari radar sejak pertama kali diekspos pada tahun 2015, pada Mei lalu muncul bukti musuh yang menggunakan backdoor baru yang disebut “Aria-Body”
Secara diam-diam mereka membobol jaringan dan memanfaatkan infrastruktur yang dikompromikan sebagai server command-and-control (C2) untuk meluncurkan serangan tambahan terhadap organisasi/perusahaan lain.
Bitdefender mengidentifikasi gelombang serangan baru menggunakan RainyDay sebagai backdoor utama.
Peretas China menggunakannya untuk melakukan melakukan pengintaian, mengirimkan muatan tambahan, melakukan gerakan lateral di seluruh jaringan, dan mengekstrak informasi sensitif.
Backdoor dieksekusi melalui teknik yang dikenal sebagai DLL side-loading yang mengacu pada metode tried-and-tested untuk memuat DLL berbahaya dalam upaya membajak aliran eksekusi program yang resmi seperti Outlook Item Finder.
Sebagai strategi cadangan, malware juga memasang implan kedua yang disebut Nebulae untuk mengumpulkan informasi sistem, melakukan operasi file, melakukan download dan upload file sebebasnya dari dan ke server C2.
“Pintu belakang kedua seharusnya digunakan sebagai tindakan pencegahan untuk tidak kehilangan persisten jika terdeteksi adanya tanda-tanda infeksi,” kata peneliti.
Alat lain yang digunakan oleh backdoor RainyDay seperti, pengumpul file yang mengambil file dan kemudian diubah dengan ekstensi tertentu serta mengunggahnya ke Dropbox, pemanen kredensial juga berbagai utilitas jaringan seperti pemindai dan proxy NetBIOS.
Terlebih lagi, Bitdefender mengatakan jika kemungkinan RainyDay adalah malware.
RainyDay memiliki kesamaan dalam fungsionalitas dan penggunaan pemuatan DLL untuk mencapai eksekusi.
Biasa disebut “FoundCore”, yaitu backdoor yang dikaitkan dengan penyerang yang berbahasa Mandarin bernama Cycldek, sebagai bagian dari kampanye spionase cyber yang ditujukan kepada pemerintah dan organisasi militer di Vietnam.
Bertahan terhadap Peretas China
Komunitas MITRE menyediakan bahasa umum untuk keamanan cyber dan metodologi terbuka untuk membantu mengembangkan dan mengevaluasi solusi pertahanan cyber.
Matriks MITRE membawa nilai yang sangat besar bagi seluruh industri. MITRE Evaluations memberikan tingkat visibilitas perusahaan yang superior ke dalam kapabilitas objektif dari solusi keamanan cyber.
Bitdefender Mencapai Skor Deteksi Tertinggi dalam Evaluasi MITRE untuk Perusahaan
Bitdefender GravityZone memimpin bidang solusi vendor dengan jumlah deteksi tertinggi di semua langkah serangan dan sub-langkah dalam kerangka kerja MITRE (hasil 10 deteksi lebih banyak daripada solusi terdekat berikutnya dan hampir 50 persen lebih besar dari jumlah rata-rata deteksi untuk semua vendor yang dievaluasi).
Recent Comments