Serangan Windows Terbaru: Kampanye Phising Berasal dari Tiongkok

Perusahaan teknologi web Tiongkok, Tencent, saat ini digunakan oleh penyerang yang tidak dikenal sebagai bagian dari kampanye phishing yang bertujuan untuk mendapatkan akses jaringan yang berkelanjutan di entitas-entitas Tiongkok.

Minggu lalu, vendor alat deteksi, investigasi dan respons ancaman yang berbasis di AS, Securonix, mengklaim telah "mengungkap kampanye tertutup yang menargetkan pengguna berbahasa Tiongkok dengan payload Cobalt Strike yang kemungkinan disampaikan melalui email phishing. Para penyerang berhasil bergerak secara lateral, menetapkan ketahanan, dan tetap tidak terdeteksi di dalam sistem selama lebih dari dua minggu."

Peneliti ancaman Securonix, Den Iuzvyk dan Tim Peck, menyatakan bahwa mereka tidak dapat menentukan asal usul serangan tersebut, maupun vektor serangannya. Namun, mereka dapat menyimpulkan bahwa serangan dimulai dengan email phishing yang membawa file Zip terkompresi yang diberi judul "20240739人员名单信息.zip" yang diterjemahkan menjadi "Informasi Daftar Personel."

Dengan mengklik file tersebut, akan terbongkar arsip yang menyertakan sebuah tautan file bertajuk "违规远程控制软件人员名单.docx.lnk", "Daftar Orang yang Melanggar Peraturan Perangkat Lunak Kontrol Jarak Jauh".

Iuzvyk dan Peck menyarankan bahwa nama file tersebut menunjukkan bahwa kampanye ini kemungkinan menargetkan "sektor bisnis atau pemerintahan terkait Tiongkok secara spesifik … karena keduanya akan mempekerjakan individu yang mematuhi 'peraturan perangkat lunak kontrol jarak jauh'."

Apa pun motifnya, mengklik tautan tersebut mengarah pada eksekusi kode yang berjalan dari dalam direktori bertingkat dengan nama yang merujuk pada "MACOS." Beberapa direktori di dalamnya menyimpan sepasang file bernama dui70.dll dan UI.exe.

UI.exe adalah versi nama ulang dari executable Windows yang sah bernama LicensingUI.exe  alat yang menginformasikan pengguna tentang lisensi dan aktivasi perangkat lunak.

"File yang sah dirancang untuk mengimpor beberapa file DLL yang sah, salah satunya adalah dui70.dll yang seharusnya berada di C:\Windows\System32. Namun, berkat kerentanan penelusuran jalur DLL, sembarang DLL dengan nama yang sama dapat di sideload pada saat eksekusi UI.exe yang dinama ulang oleh file LNK," tulis para peneliti Securonix.

Keduanya tidak menemukan laporan mengenai teknik sideloading DLL atau pembajakan yang melibatkan LicensingUI.exe, sehingga kemungkinan ini adalah taktik baru.

Setelah UI.exe dijalankan, sebuah DLL jahat yang sebenarnya merupakan implan untuk toolkit serangan Cobalt Strike berfungsi dan menyuntikkan dirinya ke dalam biner Windows "runouce.exe." Eksekutabel ini memberikan kontrol penuh kepada penyerang atas host.

Siapa pun yang menjalankan kampanye ini kemudian menyebarkan beberapa perangkat jahat lainnya, antara lain:

• fpr.exe : Executable yang tidak diketahui;
• iox.exe : Alat untuk pengalihan port dan pengaturan koneksi terproteksi
• fscan.exe : Pemindai terkenal dalam red teaming untuk mengidentifikasi host yang hidup dan port yang terbuka. File hasilnya adalah "result.txt";
• netspy.exe : Alat rekognisi jaringan yang digunakan untuk menangkap lalu lintas jaringan atau memindai kerentanan jaringan. File log adalah "netspy.log" dan "alive.txt";
• lld.exe : Biner pemuat shellcode yang dalam kasus ini memuat dan mengeksekusi shellcode mentah yang disimpan di C:/Windows/Temp/tmp/tmp.log;
• xxx.txt : Sama dengan tmp.log sebelum diganti nama;
• tmp.log : File yang berisi shellcode untuk dieksekusi oleh lld.exe;
• sharpdecryptpwd.exe : Utilitas berbasis command-line yang mengumpulkan dan membuang kredensial yang di-cache dari aplikasi yang terinstal seperti Navicat, TeamViewer, FileZilla, WinSCP, dan Xmanager;
• pvefindaduser.exe : Digunakan untuk enumerasi pengguna Active Directory (AD) Windows;
• new text document.txt : Para peneliti tidak dapat menangkap file ini dan aksinya tidak diketahui;
• gogo_windows_amd64.exe : Tampaknya terkait dengan proyek open source "Nemo" yang mengotomatiskan alat enumerasi seperti Nmap, Massscan, dan banyak lainnya. Menghasilkan file ".sock.lock" dan "output.txt".

Semua ini dijalankan secara berurutan dan menghasilkan banyak informasi yang diekstrak oleh penyerang, kemungkinan besar untuk menginformasikan serangan lainnya.

Securonix mengamati bahwa para penyerang berhasil membangun akses yang berkelanjutan dalam jaringan korban, serta bergerak secara lateral menggunakan protokol desktop jarak jauh.

Pengambilan informasi mengenai konfigurasi Active Directory adalah satu target, sementara alamat IP publik adalah yang lainnya.

Para peneliti Securonix menuliskan bahwa semua alamat IP yang mereka amati sebagai yang digunakan dalam serangan ini di hosting oleh Tencent, termasuk dalam layanan penyimpanan objek cloud-nya. Tidaklah aneh jika di public cloud menemukan bahwa mereka memiliki pelanggan yang berbahaya, tetapi pemerintah Tiongkok tidak menyukai raksasa teknologinya ketika mereka gagal melindungi internet lokal.

Vendor keamanan tersebut menamai kampanye yang mereka amati SLOW#TEMPEST karena siapa pun yang menjalankannya bersedia untuk bersembunyi selama satu atau dua minggu demi mencapai tujuan mereka.

Peneliti ancaman Iuzvyk dan Peck melabeli penyerang sebagai "sangat terorganisir dan canggih kemungkinan diatur oleh aktor ancaman yang berpengalaman dengan menggunakan kerangka eksploitasi lanjutan seperti Cobalt Strike dan berbagai alat pasca-eksploitasi lainnya."

"Kompleksitas kampanye ini terlihat dari pendekatannya yang metodis terhadap kompromi awal, ketahanan, peningkatan hak akses, dan pergerakan lateral di seluruh jaringan."

Namun, Securonix tidak menemukan bukti kuat yang menghubungkan serangan ini dengan kelompok APT yang dikenal. Kebanyakan kelompok semacam itu diperkirakan terkait baik dengan Tiongkok sendiri, atau Rusia, atau Korea Utara.

Dua negara terakhir tersebut adalah di antara teman-teman dekat Beijing. Tetapi tentu saja, mereka yang menganggap Tiongkok sebagai musuh juga bisa sangat tertarik pada jenis informasi yang menjadi target serangan ini.