Kelompok serangan dunia maya yang disponsori negara yang dikenal sebagai Billbug berhasil mengkompromikan otoritas sertifikat digital (CA) sebagai bagian dari kampanye spionase luas yang berlangsung hingga Maret โ perkembangan yang mengkhawatirkan dalam buku pedoman ancaman persisten lanjutan (APT), para peneliti memperingatkan.
Sertifikat digital adalah file yang digunakan untuk menandatangani perangkat lunak sebagai valid, dan memverifikasi identitas perangkat atau pengguna untuk mengaktifkan koneksi terenkripsi. Dengan demikian, kompromi CA dapat menyebabkan legiun serangan lanjutan yang diam-diam.
โPenargetan otoritas sertifikat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,โ menurut laporan minggu ini dari Symantec. โItu juga berpotensi menggunakan sertifikat yang dikompromikan untuk mencegat lalu lintas HTTPS.โ
โIni berpotensi sangat berbahaya,โ catat para peneliti.
Rentetan Kompromi Dunia Maya yang Berkelanjutan
Billbug (alias Bunga Teratai atau Thrip) adalah kelompok spionase berbasis di China yang terutama menargetkan korban di Asia Tenggara. Ini dikenal untuk perburuan besar โ โโyaitu, mengejar rahasia yang dipegang oleh organisasi militer, entitas pemerintah, dan penyedia komunikasi. Kadang-kadang itu menyebarkan jaring yang lebih luas, mengisyaratkan motivasi yang lebih gelap: Dalam satu contoh masa lalu, itu menyusup ke operator ruang angkasa untuk menginfeksi komputer yang memantau dan mengontrol pergerakan satelit.
Dalam rangkaian aktivitas jahat terbaru, APT menyerang jajaran lembaga pemerintah dan pertahanan di seluruh Asia, dalam satu kasus menginfeksi โsejumlah besar mesinโ di jaringan pemerintah dengan malware khusus.
โKampanye ini berlangsung setidaknya dari Maret 2022 hingga September 2022, dan mungkin saja kegiatan ini sedang berlangsung,โ kata Brigid O Gorman, analis intelijen senior di Symantec Threat Hunter Team. โBillbug adalah kelompok ancaman lama yang telah melakukan banyak kampanye selama bertahun-tahun. Ada kemungkinan bahwa aktivitas ini dapat meluas ke organisasi atau geografi tambahan, meskipun Symantec tidak memiliki bukti untuk saat ini.โ
Pendekatan Akrab untuk Serangan Cyber
Pada target tersebut dan juga pada CA, vektor akses awal adalah eksploitasi aplikasi yang rentan dan menghadap ke publik. Setelah mendapatkan kemampuan untuk mengeksekusi kode, pelaku ancaman melanjutkan untuk menginstal pintu belakang Hannotog atau Sagerunex kustom mereka yang diketahui sebelum menggali lebih dalam ke jaringan.
Untuk tahap kill-chain selanjutnya, penyerang Billbug menggunakan banyak binari hidup-off-the-land (LoLBins), seperti AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail, dan WinRAR, menurut laporan Symantec.
Alat yang sah ini dapat disalahgunakan untuk berbagai penggunaan doppelganger, seperti menanyakan Active Directory untuk memetakan jaringan, file ZIP untuk eksfiltrasi, mengungkap jalur antara titik akhir, memindai NetBIOS dan port, dan menginstal sertifikat root browser โ belum lagi mengunduh malware tambahan .
Backdoor khusus yang digabungkan dengan alat penggunaan ganda adalah jejak yang sudah dikenal, yang telah digunakan oleh APT di masa lalu. Tapi kurangnya perhatian tentang paparan publik par untuk kursus untuk grup.
โPerlu dicatat bahwa Billbug tampaknya tidak terpengaruh oleh kemungkinan mengaitkan aktivitas ini dengannya, dengan menggunakan kembali alat yang telah dikaitkan dengan grup di masa lalu,โ kata Gorman.
Dia menambahkan, โPenggunaan berat kelompok untuk hidup dari lahan dan alat penggunaan ganda juga penting, dan menggarisbawahi kebutuhan organisasi untuk memiliki produk keamanan yang tidak hanya dapat mendeteksi malware, tetapi juga dapat juga mengenali jika alat yang sah berpotensi digunakan dengan cara yang mencurigakan atau berbahaya.โ
Symantec telah memberi tahu CA yang tidak disebutkan namanya untuk menginformasikannya tentang aktivitas tersebut, tetapi Gorman menolak untuk memberikan perincian lebih lanjut mengenai tanggapan atau upaya perbaikannya.
Meskipun sejauh ini tidak ada indikasi bahwa grup tersebut dapat terus mengkompromikan sertifikat digital yang sebenarnya, peneliti menyarankan, "Perusahaan harus menyadari bahwa malware dapat ditandatangani dengan sertifikat yang valid jika pelaku ancaman dapat memperoleh akses ke otoritas sertifikat."
Secara umum, organisasi harus mengadopsi strategi pertahanan mendalam, menggunakan beberapa teknologi deteksi, perlindungan, dan pengerasan untuk mengurangi risiko di setiap titik rantai serangan potensial, katanya.
โSymantec juga akan menyarankan penerapan audit dan kontrol yang tepat atas penggunaan akun administratif,โ kata Gorman. โKami juga menyarankan untuk membuat profil penggunaan alat admin karena banyak dari alat ini digunakan oleh penyerang untuk bergerak secara lateral tanpa terdeteksi melalui jaringan. Secara keseluruhan, autentikasi multifaktor (MFA) dapat membantu membatasi kegunaan kredensial yang disusupi.โ
