Institut Taiwan Jadi Sasaran Serangan APT41 dengan ShadowPad


Ilustrasi Hacker 2

Ilustrasi Hacker 2

Sebuah institut riset yang berafiliasi dengan pemerintah Taiwan dan bergerak di bidang teknologi komputer baru-baru ini mengalami serangan siber yang melibatkan alat canggih. Menurut temuan terbaru dari Cisco Talos, institut yang tidak disebutkan namanya ini menjadi target serangan dari aktor ancaman negara yang diduga terkait dengan China. Serangan ini, yang diduga dilakukan oleh kelompok peretas APT41, dimulai sejak pertengahan Juli 2023 dan menggunakan berbagai alat backdoor serta paska kompromi seperti ShadowPad dan Cobalt Strike.

Para peneliti keamanan dari Cisco Talos, Joey Chen, Ashley Shen, dan Vitor Ventura, mengungkapkan bahwa dalam serangan ini, malware ShadowPad mengeksploitasi versi Microsoft Office IME yang usang dan rentan sebagai loader untuk memuat loader tahap kedua yang sudah dimodifikasi. “Malware ShadowPad dalam kampanye ini menggunakan loader yang sudah dimodifikasi untuk memuat payload secara efektif,” kata mereka. “Aktor ancaman ini berhasil mengakses tiga host di lingkungan target dan berhasil mengekstraksi beberapa dokumen dari jaringan.”

Menurut Cisco Talos, aktivitas ini terdeteksi pada Agustus 2023 setelah mereka menemukan adanya "perintah PowerShell yang tidak biasa" yang menghubungkan ke sebuah alamat IP untuk mengunduh dan menjalankan skrip PowerShell di lingkungan yang telah terkompromi. Meskipun cara akses awal dalam serangan ini belum sepenuhnya diketahui, serangan ini melibatkan penggunaan web shell untuk mempertahankan akses yang berkelanjutan dan menyebarkan payload tambahan seperti ShadowPad dan Cobalt Strike. Cobalt Strike disebarkan melalui loader berbasis Go yang dikenal dengan nama CS-Avoid-Killing.

“Malware Cobalt Strike dikembangkan dengan menggunakan loader anti-AV untuk menghindari deteksi dari perangkat lunak antivirus dan mencegah karantina oleh produk keamanan,” jelas peneliti. Selain itu, aktor ancaman juga terlihat menjalankan perintah PowerShell untuk meluncurkan skrip yang bertugas menjalankan ShadowPad di memori dan mengambil malware Cobalt Strike dari server command-and-control (C2) yang telah terkompromi. Loader berbasis DLL ShadowPad, yang juga dikenal dengan nama ScatterBee, dieksekusi melalui teknik side-loading DLL.

Beberapa langkah lain yang diambil dalam intrusi ini termasuk penggunaan Mimikatz untuk mengekstrak kata sandi serta eksekusi berbagai perintah untuk mengumpulkan informasi mengenai akun pengguna, struktur direktori, dan konfigurasi jaringan. “APT41 membuat loader yang disesuaikan untuk menyuntikkan proof-of-concept untuk CVE-2018-0824 langsung ke memori, memanfaatkan kerentanan eksekusi kode jarak jauh untuk mencapai eskalasi hak istimewa lokal,” tambah Talos, menyoroti bahwa payload akhir, UnmarshalPwn, diluncurkan setelah melewati tiga tahap berbeda.

Cisco Talos juga mencatat upaya dari para peretas untuk menghindari deteksi dengan menghentikan aktivitas mereka sendiri ketika mendeteksi pengguna lain di sistem. “Setelah backdoor dikerahkan, aktor jahat akan menghapus web shell dan akun tamu yang memberikan akses awal,” ujar peneliti.

Pengungkapan ini muncul bersamaan dengan laporan bahwa Jerman mengungkapkan minggu ini bahwa aktor negara China berada di balik serangan siber pada tahun 2021 terhadap lembaga pemetaan nasional Jerman, Federal Office of Cartography and Geodesy (BKG), dengan tujuan spionase. Menanggapi tuduhan tersebut, kedutaan China di Berlin menegaskan bahwa tuduhan tersebut tidak berdasar dan meminta Jerman untuk "menghentikan praktik menggunakan isu keamanan siber untuk mencemarkan nama China secara politik dan di media."

Serangan terhadap institut riset Taiwan ini menunjukkan bagaimana kelompok peretas yang didukung negara dapat menggunakan teknik yang sangat canggih untuk menyusup ke jaringan dan mengumpulkan informasi sensitif. Ini juga menggarisbawahi pentingnya perlindungan siber yang kuat dan pemantauan yang berkelanjutan untuk melindungi institusi-institusi penting dari ancaman yang semakin kompleks. Melalui pendekatan yang komprehensif dan teknologi yang canggih, seperti deteksi anomali dan pembaruan keamanan yang konsisten, institusi dapat mengurangi risiko serangan dan melindungi data mereka dari potensi bahaya.


Bagikan artikel ini

Video Terkait