Peretas Tiongkok menutupi jejak mereka dan menghapus malware beberapa hari sebelum terdeteksi
Spesialis FireEye menarik perhatian dengan perilaku aneh peretas Tiongkok, WHO, dalam upaya untuk menutupi jejak mereka, menghapus malware sesaat sebelum terdeteksi.
Menurut para peneliti, dua kelompok peretas menggunakan kerentanan zero-day di Pulse Secure VPN untuk menyerang jaringan kontraktor pertahanan Amerika dan organisasi pemerintah di seluruh dunia.
Menurut FireEye, peretasan dimulai pada bulan Agustus 2020, ketika grup hack pertama, yang dilacak oleh perusahaan UNC2630, menargetkan kontraktor pertahanan AS dan organisasi Eropa. Menurut analis, para peretas ini “bertindak atas nama pemerintah Tiongkok dan mungkin memiliki hubungan dengan APT5,” itu adalah kelompok spionase dunia maya terkenal lainnya di Tiongkok.
Pada bulan Oktober 2020, kelompok peretas kedua bergabung dalam serangan tersebut (FireEye memberinya ID UNC2717), tapi para ahli praktis tidak tahu apa-apa tentang hal itu.
Dalam kedua kasus tersebut, penyerang memasang web shell pada perangkat yang rentan, dan kemudian menggunakannya untuk pergi ke korban’ jaringan internal, dari mana mereka mencuri kredensial, surat dan dokumen rahasia.
Sekarang di a laporan baru, FireEye menulis bahwa penyelidikan lebih lanjut atas serangan ini membantu menemukan sesuatu yang aneh: setidaknya salah satu kelompok yang terlibat dalam insiden tersebut mulai menghapus malware mereka dari jaringan yang terinfeksi tiga hari sebelum pengungkapan.
“Antara bulan April 17 Dan 20, 2021, Spesialis Mandiant mengamati bahwa UNC2630 memperoleh akses ke lusinan perangkat yang disusupi dan menghapus shell web seperti ATRIUM dan SLIGHTPULSE”, — tulis analis.
Tindakan para pelaku kejahatan siber tersebut terlihat mencurigakan dan menimbulkan pertanyaan, Misalnya, jika penyerang dapat mengetahui minat dari FireEye. Tentu saja, penghapusan malware bisa saja merupakan sebuah kebetulan, tetapi jika peserta UNC2630 mengetahui bahwa FireEye sedang menyelidiki beberapa jaringan, mereka telah disusupi, tampaknya para peretas sengaja mundur dan menghapus bukti untuk melindungi operasi lain dari para peneliti.
FireEye juga melaporkan bahwa mereka telah menemukan rincian baru dari kampanye peretasan ini. Jadi, para ahli menemukan empat jenis malware tambahan (selain itu 12 dijelaskan sebelumnya).
- DARAH — Utilitas analisis file log Pulse Secure Connect. Mengambil informasi yang terkait dengan login, memposting ID dan permintaan web dan menyalin data terkait ke file lain.
- BANK DARAH — Utilitas pencuri kredensial yang mem-parsing dua file yang berisi hash kata sandi atau kata sandi dalam pengujian terbuka dan mengharapkan file output ditentukan pada baris perintah.
- PULSA BERSIH — ini adalah utilitas patching memori yang dapat digunakan untuk mencegah terjadinya peristiwa log tertentu. Itu ditemukan bersama dengan web shell ATRIUM.
- CEPAT — Shell web yang mampu membaca file sewenang-wenang. Seperti cangkang web lainnya, RAPIDPULSE adalah modifikasi dari file Pulse Secure yang sah. Dapat berfungsi sebagai pemuat untuk file terenkripsi.
Selain itu, FireEye terus bekerja sama dengan pengembang Pulse Secure untuk mengidentifikasi perangkat yang disusupi dan pemiliknya. Pekerjaan ini memungkinkan analis untuk mempelajari lebih lanjut tentang target para penyerang. Jadi, menurut data baru, sebagian besar korbannya adalah organisasi yang berbasis di Amerika Serikat (lainnya berlokasi di negara-negara Eropa). Padahal serangan tersebut sebelumnya diperkirakan menyasar kontraktor pertahanan dan lembaga pemerintah, kini menjadi jelas bahwa para penyerang juga menargetkan telekomunikasi, perusahaan keuangan dan transportasi.
Padahal sebelumnya analis FireEye menulis bahwa hanya UNC2630 yang bisa memiliki hubungan dengan pemerintah China, sekarang mereka yakin bahwa kedua kelompok terlibat dalam spionase dunia maya dan “mendukung prioritas utama pemerintah Tiongkok.”
Izinkan saya mengingatkan Anda bahwa saya juga menulis itu Malware XCSSET menggunakan serangan 0 hari di macOS.
