Para hacker asal Tiongkok meningkatkan intensitas serangan terhadap India dan Hongkong
Adanya peningkatan aktivitas serangan cyber yang berasal dari Tiongkok telah ditelusuri ke kampanye peretasan baru yang ditujukan untuk Lembaga pemerintahan di India dan penduduk di Hong Kong dengan tujuan untuk mencuri informasi sensitif. Dalam laporan terbaru perusahaan cyber Malwarebytes, mereka mengamati serangan baru yang dimulai pada minggu pertama bulan Juli, bertepatan dengan larangan 59 aplikasi asal Tiongkok oleh India atas masalah keamanan dan memberlakukan hukum keamanan yang kontroversial di Hong Kong.
Para peneliti cukup yakin bahwa kelompok Advanced Persistent Threat (APT) berasal dari Tiongkok merupakan pelaku yang berada di balik serangan ini. Mereka telah memanfaatkan setidaknya Tactics, Techniques, and Procedures (TTPs) yang berbeda, menggunakan email spear-phishing untuk menjatuhkan varian Cobalt Strike dan MgBot malware, dan aplikasi Android palsu untuk mengumpulkan catatan panggilan, kontak, dan pesan.
Penggunaan Spear-Phishing
Para peneliti menemukan varian yang pertama pada 2 Juli. Itu adalah file archive yang datang dengan dokumen embedded yang berpura-pura berasal dari pemerintah India. Pesan itu memberi tahu penerima bahwa akun email mereka telah disusupi dan mereka harus menyelesaikan pemeriksaan keamanan sebelum 5 Juli.
Saat dibuka, dokumen tersebut menggunakan injeksi template untuk mengunduh template berbahaya yang akhirnya menjalankan varian malware Cobalt Strike. Menurut para peneliti, kelompok itu mengganti template di hari berikutnya, kali ini menggunakan loader bernama MgBot, yang menyuntikkan final payload menggunakan Application Management (AppMgmt) Service pada Windows.
Pada tanggal 5 Juli, para penyerang menggunakan versi lain dari serangan itu, kali ini menggunakan dokumen embedded yang sangat berbeda. Dokumen tersebut konon memuat pernyataan tentang Hong Kong dari Perdana Menteri Inggris Boris Johnson, yang diduga menjanjikan untuk menawarkan kewarganegaraan Inggris kepada hampir tiga juta orang yang tinggal di Hong Kong.
Penggunaan Remote Administration Trojan (RAT)
Dropped loader (“ff.exe”) yang menyamar sebagai alat Realtek Audio Manager dan berisi empat embedded resources, dua diantaranya ditulis dalam bahasa Mandarin bersama dengan penggunaan DDE dan template injection, menunjukkan kampanye ini bisa menjadi hasil karya dari hacker yang berbasis di Tiongkok, mengingat sejarah sebelumnya serangan yang mengambil keuntungan dari TTP yang sama.
Tidak hanya Remote Administration Trojan (RAT) yang di-bundle mampu membuat koneksi ke server command-and-control (C2) jarak jauh yang berlokasi di Hong Kong, itu juga memiliki kemampuan untuk menangkap keystrokes, screenshots, dan mengelola file dan proses. Terlebih lagi, para peneliti juga menemukan beberapa aplikasi Android berbahaya sebagai bagian dari alat yang digunakan kelompok yang dilengkapi dengan fitur RAT, seperti audio dan screen recording dan fungsi untuk melakukan pelacakan lokasi telepon dan melakukan exfiltrate kontak, log panggilan, SMS, dan riwayat web.
Pengawasan terhadap aktivitas kelompok hacker
Para peneliti mengatakan mereka dapat melacak kegiatan kelompok selama beberapa hari berdasarkan upaya phishing unik yang dirancang untuk mengekspos target mereka. Sejak 2016, India telah menjadi negara keenam yang paling ditargetkan oleh kelompok-kelompok ancaman yang berbasis di Tiongkok, menurut perusahaan keamanan cyber FireEye.India, AS, Korea Selatan, Hong Kong, Jerman, dan Jepang dalam daftar. Tanggap Darurat Komputer India (CERT-In) mengatakan tahun lalu bahwa hampir 35 persen dari semua serangan dunia maya di situs India pada tahun 2018 berasal dari Tiongkok.
Bulan lalu, peneliti dari perusahaan keamanan siber CYFIRMA mengatakan bahwa aktivitas peretas Tiongkok di dark web dan berbagai forum peretasan telah meningkat setelah perselisihan perbatasan India-Tiongkok di Lembah Galwan pada Juni. Mereka juga memperingatkan bahwa kelompok Tiongkok seperti Gothic Panda dan Stone Panda dapat meretas ke berbagai organisasi komersial India untuk merusak reputasi mereka dan mencuri data rahasia apa pun dari sistem mereka.
Surat dakwaan mengklaim bahwa para peretas dari Tiongkok dibantu oleh Kementerian Keamanan Negara Tiongkok dan berusaha untuk meretas kontraktor pertahanan, perusahaan perawatan kesehatan, lembaga penelitian medial, universitas, perusahaan teknik kelautan, aktivis hak asasi manusia dan sejumlah target lainnya di negara-negara barat.
Referensi:
https://www.zdnet.com/article/chinese-hackers-blamed-for-the-spread-of-mgbot-across-india-hong-kong/
https://www.computing.co.uk/news/4018083/chinese-hackers-launch-attacks-hit-targets-india-hong-kong-researchers
https://thehackernews.com/2020/07/chinese-hackers-hong-kong-india.html