 |
| cover |
"Kelompok siber yang disponsori negara RRT sebelumnya telah menargetkan organisasi di berbagai negara, termasuk Australia dan Amerika Serikat, dan teknik yang disorot di bawah ini secara teratur digunakan oleh aktor lain yang disponsori negara RRT di seluruh dunia," ungkap laporan tersebut yang dirilis di situs resmi lembaga siber Australia cyber.gov.au, dikutip Kamis (11/7/2024).
Oleh karena itu, lembaga pembuatnya meyakini bahwa kelompok tersebut, dan teknik serupa tetap menjadi ancaman bagi jaringan negara mereka juga.
Badan-badan yang menyusun laporan menilai bahwa kelompok ini melakukan operasi siber jahat untuk Kementerian Keamanan Negara (MSS) RRT. Aktivitas dan tekniknya tumpang tindih dengan kelompok-kelompok yang dilacak sebagai Advanced Persistent Threat (APT) 40, Kryptonite Panda, GINGHAM TYPHOON, Leviathan, dan Bronze Mohawk dalam pelaporan industri.
"Kelompok ini sebelumnya dilaporkan bermarkas di Haikou, Provinsi Hainan, RRT dan menerima tugas dari MSS RRT, Departemen Keamanan Negara Hainan," ungkap laporan tersebut.
Selain itu, lembaga siber resmi Australia itu memberikan contoh studi kasus penting tentang teknik penyerang ini dalam tindakan terhadap dua jaringan korban. Studi kasus tersebut penting bagi praktisi keamanan siber untuk mengidentifikasi, mencegah, dan memperbaiki intrusi APT40 terhadap jaringan mereka sendiri.
"Studi kasus yang dipilih adalah studi kasus yang telah dilakukan perbaikan yang tepat untuk mengurangi risiko eksploitasi ulang oleh pelaku ancaman ini, atau yang lainnya. Dengan demikian, studi kasus tersebut secara alami bersifat lama, untuk memastikan organisasi diberi waktu yang diperlukan untuk memperbaiki," jelasnya.
Berikut rangkuman dalam laporan tersebut:
APT40 telah berulang kali menargetkan jaringan Australia serta jaringan pemerintah dan sektor swasta di wilayah tersebut, dan ancaman yang mereka timbulkan terhadap jaringan kami masih berlangsung. Kecurangan yang dijelaskan dalam nasihat ini secara teratur diamati terhadap jaringan Australia.
Khususnya, APT40 memiliki kemampuan untuk mengubah dan mengadaptasi bukti konsep (POC) yang dieksploitasi dengan cepat dari kerentanan baru dan segera menggunakannya terhadap jaringan target yang memiliki infrastruktur kerentanan terkait.
APT40 secara teratur melakukan pengintaian terhadap jaringan yang dimaksud, termasuk jaringan di negara-negara lembaga pembuat, untuk mencari peluang untuk membahayakan targetnya.
Pengintaian rutin ini memposisikan kelompok tersebut untuk mengidentifikasi perangkat yang rentan, yang sudah tidak dapat dipakai lagi atau tidak lagi dirawat pada jaringan yang dimaksud, dan untuk menyebarkan eksploitasi dengan cepat. APT40 terus menemukan keberhasilan dalam mengeksploitasi kerentanan sejak awal tahun 2017.
APT40 dengan cepat mengeksploitasi kerentanan publik baru dalam perangkat lunak yang banyak digunakan seperti Log4J ( CVE 2021 44228 ), Atlassian Confluence ( CVE-2021-31207 , CVE-2021- 26084 ) dan Microsoft Exchange ( CVE-2021-31207 ; CVE 2021-34523 ; CVE-2021-34473 ). ACSC ASD dan agensi pembuatnya memperkirakan kelompok tersebut akan terus menggunakan POC untuk kerentanan baru yang terkenal dalam hitungan jam atau hari setelah rilis ke publik.
Kelompok ini tampaknya lebih suka mengeksploitasi infrastruktur yang rentan dan menghadap publik daripada teknik yang memerlukan interaksi pengguna seperti kampanye phishing, dan menempatkan prioritas tinggi pada perolehan kredensial yang valid untuk memungkinkan berbagai aktivitas lanjutan.
APT40 secara teratur menggunakan web shell ( T1505.003 ) untuk persistensi, khususnya di awal siklus hidup intrusi. Biasanya, setelah akses awal yang berhasil, APT40 berfokus pada pembentukan persistensi untuk mempertahankan akses pada lingkungan korban.
Namun, karena persistensi terjadi di awal intrusi, persistensi lebih mungkin diamati pada semua intrusi terlepas dari tingkat kompromi atau tindakan lebih lanjut yang diambil.
Situs web Australia disusupi.
Meskipun APT40 sebelumnya telah menggunakan situs web Australia yang disusupi sebagai host perintah dan kontrol (C2) untuk operasinya, kelompok tersebut telah mengembangkan keterampilan ini ( T1594 ).
APT40 telah mengadopsi tren global penggunaan perangkat yang disusupi, termasuk perangkat kantor kecil/kantor rumah (SOHO), sebagai infrastruktur operasional dan pengalihan hop terakhir ( T1584.008 ) untuk operasinya di Australia. Hal ini memungkinkan lembaga pembuat untuk mengkarakterisasi dan melacak pergerakan kelompok ini dengan lebih baik.
Banyak dari perangkat SOHO ini sudah tidak dapat dipakai lagi atau belum ditambal dan menjadi sasaran empuk untuk eksploitasi N-day. Setelah disusupi, perangkat SOHO menjadi titik awal bagi serangan untuk berbaur dengan lalu lintas yang sah dan menantang pembela jaringan ( T1001.003 ).
Teknik ini juga secara rutin digunakan oleh aktor-aktor yang disponsori negara RRT lainnya di seluruh dunia, dan lembaga-lembaga pembuat menganggap ini sebagai ancaman bersama.
Untuk informasi tambahan, lihat nasihat bersama Aktor Siber yang Disponsori Negara Republik Rakyat Tiongkok Memanfaatkan Penyedia dan Perangkat Jaringan dan Aktor yang Disponsori Negara RRT Mengganggu dan Mempertahankan Akses Berkelanjutan ke Infrastruktur Kritis AS .
APT40 kadang-kadang menggunakan infrastruktur yang diperoleh atau disewa sebagai infrastruktur C2 yang menghadap korban dalam operasinya; namun, perdagangan ini tampaknya mengalami penurunan relatif.
