Mengutip Bleepingcomputer, kampanye serangan siber telah berlangsung sejak 2019 dan masih berlangsung. Penyelidik Jepang telah mengamati fase yang berbeda dengan diferensiasi target dan metode serangan.
Dalam semua kasus, tujuan utamanya adalah untuk mencuri informasi tentang teknologi Jepang yang berharga dan canggih serta mengumpulkan intelijen keamanan nasional.
MirrorFace, juga dikenal sebagai "Earth Kasha," sebelumnya diamati oleh ESET melakukan serangan terhadap politisi Jepang sebelum pemilihan, menggunakan email phishing untuk menyebarkan pencuri kredensial yang dijuluki 'MirrorStealer' dan juga backdoor 'LODEINFO'.
Menurut analisis NPA terhadap aktivitas MirrorFace, peretas Tiongkok mengeksploitasi kelemahan dalam peralatan jaringan, termasuk CVE-2023-28461 di Array Networks, CVE-2023-27997 di peralatan Fortinet, dan CVE-2023-3519 di Citrix ADC/Gateway.
Setelah menembus jaringan, pelaku ancaman menginfeksi komputer yang ditargetkan dengan LODEINFO, ANEL, NOOPDOOR, dan keluarga malware lainnya yang mampu mengekstrak data dan berbagai backdoor untuk akses jangka panjang yang persisten.
NPA mengidentifikasi tiga kampanye berbeda yang dilakukan oleh peretas MirrorFace:
- Kampanye A (2019–2023): Menargetkan think tank, entitas pemerintah, politisi, dan media dengan email sarat malware untuk mencuri informasi.
- Kampanye B (2023): Mengeksploitasi kerentanan perangkat lunak di perangkat yang terhubung ke internet, menargetkan sektor semikonduktor, manufaktur, TIK, akademisi, dan kedirgantaraan Jepang.
- Kampanye C (2024–sekarang): Menggunakan tautan email berbahaya untuk menginfeksi akademisi, think tank, politisi, dan media dengan malware.
NPA menyoroti dua metode penghindaran yang digunakan MirrorFace untuk bertahan di jaringan untuk waktu yang lama tanpa membunyikan alarm apa pun. Pertama menggunakan terowongan Visual Studio Code, yang diatur oleh malware ANEL pada sistem yang disusupi. Terowongan ini digunakan untuk menerima perintah untuk dijalankan pada sistem yang terinfeksi, yang biasanya merupakan perintah PowerShell.
Kabarnya, MirrorFace telah menggunakan terowongan VSCode setidaknya sejak Juni 2024. Ini adalah taktik yang didokumentasikan yang sebelumnya dikaitkan dengan peretas lain yang disponsori negara lain seperti STORM-0866 dan Sandman APT.
Metode penghindaran kedua, yang digunakan sejak Juni 2023, melibatkan penggunaan fitur Windows Sandbox untuk menjalankan LOADEINFO dalam lingkungan yang terisolasi, melewati deteksi antivirus.
Windows Sandbox adalah lingkungan desktop virtual yang dapat menjalankan perintah dan program yang diisolasi dari sistem operasi host secara aman.
Namun, sistem operasi host, termasuk Microsoft Defender, tidak memantau lingkungan ini. Hal ini memungkinkan pelaku menjalankan malware yang berkomunikasi dengan server perintah dan kontrol (C2) jarak jauh sambil mempertahankan akses sistem file lokal ke host melalui folder bersama.
Berdasarkan hal di atas, NPA merekomendasikan agar administrator sistem memantau log PowerShell yang mencurigakan, komunikasi yang tidak sah dengan domain VSCode, dan aktivitas sandbox yang tidak biasa.
Meskipun tidak mungkin untuk mencatat perintah yang dijalankan di Windows Sandbox, NPA mengatakan kita dapat mengonfigurasi kebijakan Windows pada host untuk mengaudit pembuatan proses untuk mendeteksi kapan Windows Sandbox diluncurkan dan file konfigurasi apa yang digunakan.
Ini akan memungkinkan organisasi yang biasanya tidak menggunakan Windows Sandbox untuk mendeteksi penggunaannya dan menyelidiki lebih lanjut.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
