Laporan Symantec: Grup Hacker China Targetkan Sejumlah Entitas Penting di Asia Tenggara

Memanen Email

Laporan Symantec mencatat bahwa kelompok APT juga membobol "organisasi besar Amerika Serikat  (AS) dengan kehadiran signifikan di China” dalam sebuah intrusi selama empat bulan yang terdeteksi pada 11 April dan berlanjut hingga Agustus.

Pelanggaran tersebut merupakan hasil kerja aktor yang berbasis di China, berdasarkan bukti yang tersedia, menurut laporan Symantec.

"Para penyerang bergerak secara lateral melintasi jaringan organisasi, membahayakan beberapa komputer," kata laporan tersebut, tanpa mengungkapkan nama organisasi korban.

"Beberapa mesin yang menjadi target adalah Exchange Server, yang menunjukkan bahwa para penyerang mengumpulkan intelijen dengan memanen email. Alat-alat eksfiltrasi juga digunakan, yang menunjukkan bahwa data yang ditargetkan diambil dari organisasi-organisasi tersebut,” tambah laporan Symantec.

Laporan Symantec juga menyoroti bahwa para penyerang menggunakan strategi yang disesuaikan untuk menyusup ke sistem dan mempertahankan akses jangka panjang, ciri khas operasi APT.

Investigasi Symantec mengaitkan kampanye tersebut dengan kelompok-kelompok APT yang berbasis di China, berdasarkan beberapa indikator, termasuk:

• Taktik, Teknik, dan Prosedur (TTP): Para penyerang menggunakan metode yang umumnya dikaitkan dengan kelompok-kelompok APT China yang dikenal, seperti email spear-phishing, kompromi rantai pasokan, dan mengeksploitasi kerentanan zero-day.
• Tumpang tindih infrastruktur: Symantec mengidentifikasi tumpang tindih dalam server dan alat perintah-dan-kontrol (C2) yang digunakan dalam kampanye sebelumnya yang terkait dengan aktor-aktor yang berbasis di China.
• Viktimologi: Fokus pada Asia Tenggara sejalan dengan kepentingan strategis China di kawasan tersebut, termasuk sengketa teritorial dan inisiatif ekonomi seperti Prakarsa Sabuk dan Jalan (BRI). Meski atribusi definitif dalam serangan siber masih menantang, bobot bukti menunjukkan keterlibatan APT China.

Kampanye spionase menggunakan pendekatan multifaset untuk menembus targetnya. Metode utama meliputi:

• Email spear-phishing: Email phishing yang disesuaikan dengan lampiran atau tautan berbahaya digunakan untuk membahayakan akses awal.
• Eksploitasi kerentanan zero-day: Penyerang memanfaatkan kerentanan perangkat lunak yang belum ditambal untuk menyusup ke sistem tanpa terdeteksi.
• Kompromi rantai pasokan: Dengan menargetkan vendor pihak ketiga atau penyedia layanan, penyerang memperoleh akses tidak langsung ke target utama mereka.
• Penyebaran malware tingkat lanjut: Begitu berada di dalam jaringan, penyerang menyebarkan malware tersembunyi yang mampu menghindari deteksi, mempertahankan persistensi, dan mencuri data sensitif.