Aktor ancaman negara China TA423 (alias Leviathan/APT40) berada di balik kampanye spionase siber berkelanjutan terhadap negara dan entitas yang beroperasi di Laut China Selatan, termasuk organisasi yang terlibat dalam ladang angin lepas pantai di Selat Taiwan.
Kampanye terbaru aktor ancaman menggunakan email jahat yang meniru organisasi media Australia, termasuk Australian Morning News palsu, untuk mengirimkan malware ScanBox untuk pengintaian, menurut laporan yang disusun oleh perusahaan keamanan siber Proofpoint, bekerja sama dengan PwC.
Para peneliti juga mengamati aktivitas phishing yang menargetkan lembaga pemerintah, perusahaan media, dan operator turbin angin Laut China Selatan, serta produsen Eropa yang memasok peralatan untuk Yunlin Offshore Windfarm di Selat Taiwan.
Kampanye spionase aktif dari April hingga Juni, dengan URL dikirimkan dalam email phishing yang mengarahkan korban ke situs web berbahaya, di mana halaman arahan mengirimkan muatan malware JavaScript ScanBox ke target yang dipilih.
โKampanye phishing terkait ScanBox yang diidentifikasi pada bulan April hingga Juni 2022 berasal dari alamat email Gmail dan Outlook yang dinilai Proofpoint dengan keyakinan sedang dibuat oleh aktor ancaman, dan menggunakan berbagai subjek [baris] termasuk 'Sick Leave,' 'User Riset,' dan 'Minta Kerjasama,'โ sebuah posting blog tentang kampanye terkenal, menambahkan bahwa kampanye phishing saat ini sedang berlangsung.
ScanBox adalah kerangka kerja pengintaian dan eksploitasi yang dirancang untuk mengumpulkan beberapa jenis informasi, seperti alamat IP publik yang dihadapi target, jenis browser Web yang mereka gunakan, dan konfigurasi browser mereka (informasi bahasa atau plugin, misalnya). Ini memungkinkan pelaku ancaman untuk membuat profil korban, dan mengirimkan malware yang dibuat dengan hati-hati ke target tertentu yang diminati.
Ini berfungsi sebagai pengaturan untuk tahap pengumpulan informasi berikut dan potensi eksploitasi atau kompromi lanjutan, di mana malware dapat digunakan untuk mendapatkan kegigihan pada sistem korban dan memungkinkan penyerang melakukan aktivitas spionase.
โIni menciptakan kesan pada jaringan korban bahwa para pelaku kemudian mempelajari dan memutuskan rute terbaik yang harus diambil untuk mencapai kompromi lebih lanjut,โ jelas Sherrod DeGrippo, wakil presiden penelitian dan deteksi ancaman Proofpoint.
Proofpoint mulai mengamati pola penargetan yang konsisten terhadap entitas yang berbasis di Malaysia dan Australia sejak Maret 2021 โ fase pertama kampanye.
โFase kedua dimulai pada Maret 2022 dan terdiri dari kampanye phishing yang menggunakan lampiran injeksi template RTF yang memanfaatkan URL template yang disesuaikan untuk setiap target,โ catat laporan itu.
Aktif Selama Hampir Satu Dekade
DeGrippo mencatat bahwa TA423 telah aktif selama hampir 10 tahun, dengan aktivitasnya yang berkaitan dengan peristiwa militer dan politik di kawasan Asia-Pasifik. Target khas TA423 termasuk kontraktor pertahanan, produsen, universitas, lembaga pemerintah, firma hukum yang terlibat dalam perselisihan diplomatik, dan perusahaan asing yang terlibat dengan kebijakan Australasia atau operasi Laut Cina Selatan.
Dia menyebut TA423 โsalah satu aktor ancaman persisten lanjutan (APT) yang paling konsistenโ dalam lanskap ancaman, mendukung pemerintah China dalam hal-hal yang berkaitan dengan Laut China Selatan, termasuk selama ketegangan baru-baru ini di Taiwan.
โKelompok ini secara khusus ingin mengetahui siapa yang aktif di wilayah tersebut dan, sementara kami tidak dapat mengatakan dengan pasti, fokus mereka pada masalah angkatan laut kemungkinan akan tetap menjadi prioritas konstan di tempat-tempat seperti Malaysia, Singapura, Taiwan, dan Australia,โ katanya. menjelaskan.
Kelompok ini sangat cakap sehingga pada tahun 2021, Departemen Kehakiman AS mendakwa empat anggotanya dengan โkampanye intrusi komputer global yang menargetkan kekayaan intelektual dan informasi bisnis rahasia.โ
โKami mengharapkan TA423 untuk terus mengejar misi pengumpulan intelijen dan spionase yang terutama menargetkan negara-negara dengan kepentingan di Laut Cina Selatan, serta intrusi lebih lanjut di Australia, Eropa dan Amerika Serikat,โ kata DeGrippo.
Lonjakan dalam Kampanye Phishing
Pelaku jahat menggunakan metode yang semakin canggih dan tidak biasa untuk melakukan kampanye phishing.
Awal bulan ini, pelaku ancaman menggunakan akun bisnis Dynamics 365 Customer Voice yang disusupi dan tautan yang menyamar sebagai survei untuk mencuri kredensial Microsoft 365 di kampanye luas.
Peneliti Google juga menemukan ancaman terbaru dari grup APT Iran Charming Kitten, yang memiliki alat pengikis data baru yang mencakar email dari akun Gmail, Yahoo, dan Microsoft Outlook korban menggunakan kredensial yang diperoleh sebelumnya.
DeGrippo mengatakan melindungi pengguna email dan vektor email harus menjadi prioritas utama bagi organisasi, terutama industri yang sangat ditargetkan dengan lalu lintas email yang signifikan.
โOrganisasi harus fokus pada strategi keamanan siber berdasarkan orang, proses, dan teknologi,โ tambahnya. โIni berarti melatih individu untuk mengidentifikasi email berbahaya, menggunakan alat keamanan email untuk memblokir ancaman sebelum mencapai kotak masuk pengguna, dan menerapkan proses yang tepat untuk memastikan bahwa ancaman dapat segera dikurangi.โ
