Hacker Cina menyerang Pusat Data Nasional menggunakan watering hole attack

Hacker Cina menyerang Pusat Data Nasional menggunakan watering hole attack

Peneliti keamanan IT di Kaspersky Lab telah menerbitkan laporan tentang kegiatan grup peretasan China, LuckyMouse (juga dikenal sebagai Iron Tiger, Threat Group-3390, EmissaryPanda, dan APT27), yang telah aktif sejak setidaknya 2010 dan menggunakan "watering hole" untuk menyerang korbannya.

Menurut laporan Kaspersky, para peretas menyerang pusat data nasional di sebuah negara Asia Tengah yang tidak diketahui, pada akhirnya mendapatkan akses ke sejumlah sumber daya pemerintah. Keterlibatan LuckyMouse dalam serangan ditunjukkan oleh alat, domain, taktik penyerang dan korban sasaran.

Para peneliti mencatat bahwa, menurut data mereka, kampanye jahat dimulai pada tahun 2017. Setelah serangan yang sukses di pusat data, kelompok tersebut menggunakan akses untuk menyuntikkan JavaScript berbahaya ke situs web resmi negara dan melakukan serangan tahap kedua (lubang berair) yang merupakan taktik klasik dari grup ini.

Watering Hole adalah teknik di mana situs web terkenal terinfeksi perangkat lunak perusak sehingga pengunjung tidak mengetahui perangkat mereka terinfeksi.

Untuk mengelola secara remote server yang terinfeksi, penyerang tidak mengembangkan malware yang benar-benar baru tetapi menggunakan versi terbaru dari Tungga HyperBro yang sudah dikenal, Alat Administrasi Jarak Jauh yang terkenal digunakan oleh penyerang China - Timestamps untuk modul ini adalah dari Desember 2017 hingga Januari 2018.

Para peneliti juga menemukan bahwa LuckyMouse dan penyerang China lainnya mulai aktif menggunakan dokumen yang terinfeksi (Microsoft Office Equation Editor) mengeksploitasi kerentanan CVE-2017-118822.

Namun, tidak jelas apakah serangan terakhir dilakukan menggunakan metode yang sama atau karyawan pusat data terinfeksi oleh penyerang menggunakan serangan lubang berair sebelumnya.

Perintah dan kontrol (C & C) server yang digunakan dalam kampanye ini di-host pada alamat IP milik penyedia layanan Internet Ukraina (ISP) menggunakan router MikroTik dengan versi firmware 6.34.4 sejak Maret 2016. Peneliti percaya bahwa router ini bukan milik untuk para penyerang, tetapi diretas oleh mereka untuk memproses permintaan HTTP malware.

Setelah kompromi yang sukses dari pusat data, situs web itu diatur untuk mengarahkan pengunjung ke ScanBox dan BEeF yang dikerahkan oleh para penjahat. Pengalihan ini diimplementasikan dengan menambahkan dua skrip berbahaya, dikaburkan menggunakan alat yang mirip dengan bungkus Dean Edwards.


Kesimpulan

Kesimpulannya, para ahli Lab Kaspersky mencatat bahwa kelompok LuckyMouse baru-baru ini sangat aktif dan menonjol terhadap orang lain dengan keahliannya dalam melakukan serangan lubang air. Namun, hal yang paling tidak biasa dan menarik tentang kampanye ini adalah target mereka - Pusat data nasional bukan hanya sumber informasi yang berharga tetapi juga menjadi tuan rumah situs web berbasis pemerintah.

“Pusat data nasional adalah sumber data yang berharga yang juga dapat disalahgunakan untuk mengkompromikan situs web resmi,” kata peneliti Kaspersky di sebuah posting blog.

Hal lain yang menarik adalah router Mikrotik, yang kami yakini diretas khusus untuk kampanye. Alasannya tidak begitu jelas: biasanya, aktor yang berbicara bahasa Tionghoa tidak repot-repot menyamarkan kampanye mereka. Mungkin ini adalah langkah pertama dalam pendekatan stealthier baru. ”

Disclamer And Support:

Semua artikel dalam Situs kami dilindungi oleh Google DCMA, Jika ada oknum yang copas tanpa seizin admin mohon segera diubah / dilaporkan sebelum blog kalian down.Dukung kami dengan memberikan komentar , Donasi , dan Follow

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel

Berlangganan newsletter kami

Notification
Agar Tidak Ketinggalan Postingan / Artikel Terupdate Dari Kami Kliknya follow
Done