USAHerds – aplikasi yang digunakan (PDF) oleh petani untuk mempercepat respons mereka terhadap penyakit dan ancaman lain terhadap ternak mereka – telah menjadi vektor infeksi, yang digunakan untuk membongkar setidaknya enam jaringan negara bagian AS oleh salah satu spionase yang disponsori negara paling produktif di China groups.
Dalam sebuah laporan yang diterbitkan oleh Mandiant pada hari Selasa, para peneliti menggambarkan serangan berkepanjangan yang dilakukan oleh APT41. Mereka mendeteksi aktivitas tersebut pada Mei 2021 dan melacaknya hingga bulan lalu, Februari 2022, mengamati kelompok mata-mata yang membuka aplikasi web yang rentan terhadap internet yang sering ditulis di ASP.NET.
APT41 – alias Winnti, Barium, Wicked Panda atau Wicked Laba-laba – adalah aktor ancaman persisten tingkat lanjut (APT) yang dikenal karena spionase siber yang didukung negara, serangan rantai pasokan, dan kejahatan dunia maya yang didorong oleh keuntungan.
Apa Intinya?
APT41 tujuan tidak diketahui, kata para peneliti, meskipun mereka telah mengamati bukti penyerang menggali informasi identitas pribadi (PII).
“Meskipun viktimologi dan penargetan data PII konsisten dengan operasi spionase, Mandiant tidak dapat membuat penilaian definitif saat ini mengingat sejarah kerja sampingan APT41 untuk keuntungan finansial pribadi,” tulis mereka.
Investigasi juga mengungkapkan banyak teknik baru, varian malware, metode dan kemampuan penghindaran.
“Di sebagian besar kompromi aplikasi web ini, APT41 melakukan serangan deserialisasi .NET; namun, kami juga mengamati APT41 mengeksploitasi injeksi SQL dan kerentanan traversal direktori,” kata mereka.
Serangan deserialisasi adalah serangan di mana penyerang mengeksploitasi kerentanan untuk memasukkan objek berbahaya ke dalam aplikasi web, sedangkan injeksi SQL adalah jenis serangan yang memungkinkan penyerang siber mengganggu kueri yang dibuat aplikasi ke databasenya. Serangan injeksi
SQL biasanya dilakukan dengan memasukkan pernyataan SQL berbahaya ke dalam kolom entri yang digunakan oleh situs web (seperti kolom komentar). Directory traversal, alias path traversal, adalah serangan HTTP yang memungkinkan penyerang mengakses direktori terbatas dan menjalankan perintah di luar direktori root server web.
Via Log dan Aplikasi Pelacakan Sapi
Untuk meretas jaringan negara bagian, aktor ancaman menggunakan angka nol -hari kerentanan (CVE-2021-44207) di USAHerds (alias Sistem Diagnostik Pelaporan Darurat Kesehatan Hewan), Mandiant melaporkan. Dalam kampanye terbaru, aktor tersebut juga memanfaatkan zero-day yang sekarang terkenal di Log4j (CVE-2021-44228).
Kelemahan zero-day USAHerd, yang ditambal oleh Acclaim Systems pada November 2021, berkaitan dengan penggunaan hard- kredensial berkode untuk mencapai eksekusi kode jarak jauh (RCE) pada sistem yang menjalankannya. Aplikasi ini digunakan di 18 negara bagian untuk manajemen kesehatan hewan.
Mandiant membandingkan bug dengan kerentanan yang dilaporkan sebelumnya di Microsoft Exchange Server (CVE-2020-0688) – bug yang masih dalam serangan aktif melalui serangan ProxyShell pada Agustus 2021. kesamaan antara keduanya, peneliti menjelaskan, adalah bahwa "aplikasi menggunakan ValidationKey statis dan decryptionKey (secara kolektif dikenal sebagai machineKey) secara default."
Akibatnya, semua instalasi USAHerds berbagi nilai-nilai ini, peneliti menjelaskan, yang tidak tidak, karena “melawan praktik terbaik dalam menggunakan nilai machineKey yang dihasilkan secara unik per instance aplikasi.”
“Membuat nilai machineKey yang unik sangat penting untuk keamanan aplikasi web ASP.NET karena nilai tersebut digunakan untuk mengamankan integritas ViewState, ” mereka memperingatkan.
Mandiant tidak dapat mengetahui bagaimana APT41 awalnya memperoleh nilai machineKey untuk USAHerds, tetapi begitu pelaku ancaman mendapatkan machineKey itu, y menggunakannya untuk mengkompromikan “server mana pun di Internet yang menjalankan USAHerds.”
Dengan demikian, kata peneliti, kemungkinan ada lebih banyak korban daripada enam jaringan negara bagian, meskipun mereka tidak tahu siapa atau apa korbannya.
Sejauh penggunaan APT41 atas trio bug yang secara kolektif dikenal sebagai Log4Shell berjalan, itu tidak mengherankan: Dalam beberapa jam setelah pengungkapan publik cacat Log4J awal pada 10 Desember 2021, penyerang memindai server yang rentan dan melepaskan serangan yang berkembang pesat untuk menjatuhkan penambang koin, Cobalt Strike, trojan akses jarak jauh Orcus (RAT), shell bash terbalik untuk serangan di masa mendatang, Mirai dan botnet lainnya, dan pintu belakang. Pada Januari 2022, Mirosoft mengamati upaya dan pengujian eksploitasi Log4j yang merajalela. Eksploitasi
Log4Shell menyebabkan Java mengambil dan menghapus serial objek Java jarak jauh, yang mengakibatkan kemungkinan eksekusi kode, Mandiant menjelaskan.
“Mirip dengan penargetan aplikasi web mereka sebelumnya, APT41 terus menggunakan YSoSerial menghasilkan muatan deserialisasi untuk melakukan pengintaian dan menyebarkan pintu belakang,” menurut report.
“Terutama, APT41 menyebarkan varian baru pintu belakang KEYPLUG di server Linux di banyak korban, sub-keluarga malware yang sekarang kami lacak sebagai KEYPLUG.LINUX. KEYPLUG adalah pintu belakang modular yang ditulis dalam C++ yang mendukung beberapa protokol jaringan untuk lalu lintas perintah dan kontrol (C2) termasuk HTTP, TCP, KCP melalui UDP, dan WSS.”
APT41 “sangat” menggunakan pintu belakang KEYPLUG versi Windows pada korban pemerintah negara bagian antara Juni 2021 dan Desember 2021, kata para peneliti. “Jadi, penyebaran versi porting dari pintu belakang yang mengikuti kampanye pemerintah negara bagian adalah signifikan.”
Setelah mengeksploitasi Log4Shell, para peretas terus menggunakan muatan deserialisasi untuk mengeluarkan perintah ping ke domain, kata peneliti: salah satu teknik favorit APT41, yang itu digunakan untuk mengejar korban pemerintah beberapa bulan sebelumnya.
Setelah grup mendapat akses ke lingkungan yang ditargetkan, “APT41 melakukan pengintaian host dan jaringan sebelum menyebarkan KEYPLUG.LINUX untuk membangun pijakan di lingkungan,” kata Mandiant. Perusahaan keamanan siber memberikan contoh perintah, yang ditunjukkan di bawah ini, yang digunakan untuk menyebarkan KEYPLUG.LINUX.
Penerapan KEYPLUG.LINUX Mengikuti Eksploitasi Log4j. Sumber: Mandiant.
A Swarm of Attacks
Dalam satu insiden di mana peneliti Mandiant melihat APT41 menggunakan kerentanan injeksi SQL dalam aplikasi web berpemilik untuk mendapatkan akses, upaya itu dengan cepat diatasi. Tapi dua minggu kemudian, aktor itu kembali untuk mengkompromikan jaringan dengan mengeksploitasi USAHerds zero day.
Para peretas datang setelah badan-badan negara dalam serangan cepat, serangan berulang, kata mereka. “Dalam dua kasus lain, Mandiant memulai penyelidikan di satu lembaga negara hanya untuk menemukan bahwa APT41 juga telah mengkompromikan lembaga terpisah yang tidak terkait di negara bagian yang sama,” menurut Mandiant.
APT gesit, dengan cepat beralih menggunakan kerentanan yang diungkapkan secara publik ke mendapatkan akses awal ke jaringan target, sambil juga mempertahankan operasi yang ada, menurut report.
Kerentanan kritis Log4J RCE adalah contohnya: Dalam beberapa jam setelah peringatan 10 Desember, APT41 mulai membongkarnya. Para penyerang mengeksploitasi Log4J untuk kemudian berkompromi “setidaknya dua pemerintah negara bagian AS serta target mereka yang lebih tradisional di industri asuransi dan telekomunikasi,” kata Mandiant. Korban pemerintah negara bagian AS. “Penyelidikan kami yang sedang berlangsung menunjukkan aktivitas tersebut sangat selaras dengan aktivitas APT41 Mei-Desember 2021, mewakili kelanjutan dari kampanye mereka hingga 2022 dan menunjukkan keinginan mereka yang tak henti-hentinya untuk mengakses jaringan pemerintah negara bagian,” menurut para peneliti.
Mandiant membuat sketsa garis waktu, direplikasi di bawah ini. , menunjukkan serangan terhadap jaringan pemerintah negara bagian.
U.S. garis waktu kampanye pemerintah negara bagian. Sumber: Mandiant.
APT 41 Masih Cepat di Kakinya
Mandiant menguraikan katalog tradecraft yang diperbarui dan malware baru yang menunjukkan bahwa APT41 terus gesit, "sangat mudah beradaptasi" dan "banyak akal."
"Aktivitas terbaru APT41 terhadap pemerintah negara bagian AS terdiri dari signifikan kemampuan baru, dari vektor serangan baru hingga alat dan teknik pasca-kompromi,” para peneliti menyimpulkan.
“APT41 dapat dengan cepat mengadaptasi teknik akses awal mereka dengan mengompromikan ulang lingkungan melalui vektor yang berbeda, atau dengan cepat mengoperasionalkan kerentanan baru. Kelompok ini juga menunjukkan kesediaan untuk memperlengkapi kembali dan menyebarkan kemampuan melalui vektor serangan baru sebagai lawan dari menahannya untuk penggunaan di masa mendatang,” kata para peneliti. fleksibel dalam hal menargetkan pemerintah negara bagian AS “melalui vektor serangan yang dibudidayakan dan terkooptasi,” kata Mandiant.
Begitu banyak dakwaan AS terhadap lima tersangka anggota APT41 pada September 2020: langkah dewan juri yang semudah kelompok untuk melompat sebagai patty sapi yang rata.
“Cakupan dan kecanggihan kejahatan dalam dakwaan yang tidak disegel ini belum pernah terjadi sebelumnya. Skema kriminal yang dituduhkan menggunakan aktor di China dan Malaysia untuk secara ilegal meretas, menyusup, dan mencuri informasi dari korban di seluruh dunia, ”kata Michael Sherwin, penjabat pengacara AS untuk Distrik Columbia, dalam pernyataan DoJ yang menyertai dakwaan grand jury Federal tahun 2020. “Seperti yang tercantum dalam dokumen dakwaan, beberapa pelaku kriminal ini percaya bahwa hubungan mereka dengan RRC memberi mereka lisensi gratis untuk meretas dan mencuri di seluruh dunia.”
Tujuh belas bulan kemudian, itu masih terdengar tepat bagi Mandiant: “APT41 terus menjadi tidak terpengaruh”, terlepas dari apa pun yang ingin dilakukan oleh Departemen Kehakiman AS, kata para peneliti.
Daftar Hari Ini untuk Eksploitasi Log4j: Pelajaran yang Dipetik dan Praktik Terbaik Pengurangan Risiko – acara LIVE Threatpost yang dijadwalkan Kamis, 10 Maret pukul 14:00 ET . Bergabunglah dengan pakar kode Sonatype Justin Young saat ia membantu Anda mempertajam keterampilan berburu kode untuk mengurangi waktu diam penyerang. Pelajari mengapa Log4j masih berbahaya dan bagaimana SBOM masuk ke dalam keamanan rantai pasokan perangkat lunak. Daftar Sekarang untuk acara GRATIS satu kali ini, Disponsori oleh Sonatype.
Tulis komentar
Bagikan artikel ini:
- iWeb Security
