Kampanye peretasan canggih yang diidentifikasi dengan Advanced Persistent Threat (APT) yang dikenal sebagai 'Earth Krahang' telah berhasil meretas 70 organisasi dan menargetkan sedikitnya 116 organisasi di 45 negara.
Riset dari tim trend micro berhasil menemukan kampanye peretasan canggih ini sudah terlihat aktif sejak awal tahun 2022 dan berfokus pada organisasi milik pemerintahan. Kelompok APT tersebut terlihat mengeksploitasi server yang dapat diakses oleh publik, kelompok ini juga dilaporkan mengirimkan email spear phishing untuk mengirimkan backdoor yang sebelumnya tidak terdeteksi.
Spesifiknya, para hacker tersebut telah membobol 48 organisasi pemerintah, 10 di antaranya adalah kementerian luar negeri, dan menargetkan 49 lembaga pemerintahan lainnya.
Para hacker tersebut mengeksploitasi server yang terhubung ke internet yang rentan dan menggunakan email spear phishing untuk menyebarkan backdoors khusus untuk melakukan spionase siber.
Earth Krahang memanfaatkan posisinya pada infrastruktur milik pemerintah yang telah dibobol untuk menyerang pemerintah lain, membangun server VPN pada sistem yang disusupi dan melakukan brute-forcing untuk memecahkan kata sandi akun email yang sensitif dan berharga.
Seperti yang terlihat pada gambar diatas, Indonesia merupakan salah satu dari beberapa negara yang berwarna merah sebagai salah satu korban yang terkonfirmasi dari kampanye peretasan yang dilakukan oleh hacker earth krahang, adapun yang diwarnai kuning merupakan target yang akan menjadi korban selanjutnya yang telah terkonfirmasi dari kampanye ini.
Gambaran Umum Serangan Hacker Earth Krahang
Kelompok ini memang kerap kali mengeksploitasi akses untuk menargetkan entitas pemerintahan lainnya. Para hacker tersebut. Para hacker menggunakna infrastruktur untuk menghosting muatan berbahaya, lalu lintas serangan proxy, dan mengirim email spear phishing ke target yakni pemerintahan, dengan memanfaatkan akun email pemerintah namun yang sudah berhasil disusupi.
Para hacker tersebut menggunakan tools open-source untuk memindai server yang terhubung ke publik untuk mencari titik kerentanan, seperti:
CVE-2023-32315 (Openfire)
CVE-2022-21587 (Oracle Web Apps)
Dengan mengeksploitasi kelemahan atau titik kerentanan tersebut, mereka menggunakan webshell untuk mendapatkan akses yang tidak sah dan membangun persistensi dalam jaringan korban.
"Kami melihat bahwa Earth Krahang mengambil ratusan alamat email dari target mereka selama fase pengintaian," tulis laporan Trend Micro.
"Dalam satu kasus, pelaku menggunakan kotak surat yang disusupi dari entitas pemerintah untuk mengirim lampiran berbahaya ke 796 alamat email milik entitas yang sama."
Email-email ini berisikan lampiran berbahaya yang menjatuhkan backdoors ke komputer atau endpoint korban, hal ini dapat menyebabkan infeksi dan mencapai redudansi dalam hal deteksi dan pembersihan.
Dari trend micro juga, mengatakan bahwa para hacker tersebut menggunakan akun Outlook yang di compromised untuk memaksa kredensial Exchange secara paksa. sementara skrip Python yang berspesialisasi dalam mengeksfiltrasi email dari server Zimbra juga ditemukan.
Kelompok hacker ini membangun server VPN di jaringan publik yang disusupi menggunakan SoftEtherVPN untuk membangun akses ke jaringan pribadi para korbannya serta meningkatkan kemampuan meka untuk bergerak secara lateral di dalam jaringan tersebut.
Setelah memantapkan keberadaan mereka di jaringan, Earth Krahang menyebarkan malware dan alat seperti Cobalt Strike, RESHELL, dan XDealer, yang menyediakan menjalankan command dan mengumpulkan data.
XDealer adalah alat yang lebih canggih dari TeamT5 dan DinodasRAT ESET dan kompleks dari two backdoors karena mendukung Linux dan Windows serta dapat mengambil tangkapan layar, mencatat penekanan tombol, dan mencegat data clipboard.
Trend Micro mengatakan bahwa pada awalnya mereka menemukan hubungan antara Earth Krahang dan aktor nexus Tiongkok, Earth Lusca, berdasarkan tumpang tindih komando dan kontrol (C2), tetapi menentukan bahwa ini adalah kelompok yang terpisah.
Ada kemungkinan bahwa kedua kelompok ancaman tersebut beroperasi di bawah perusahaan Tiongkok I-Soon, yang bekerja sebagai gugus tugas khusus untuk melakukan spionase siber pada entitas pemerintah.
Selain itu, RESHELL sebelumnya telah dikaitkan dengan kelompok 'Gallium' dan XDealer dengan peretas 'Luoyu'. Namun, wawasan Trend Micro menunjukkan bahwa alat-alat ini kemungkinan besar digunakan bersama di antara para pelaku ancaman, masing-masing menggunakan kunci enkripsi yang berbeda.
Daftar lengkap indicators of compromise (IoC) untuk kampanye Earth Krahang, dipublikasikan secara terpisah di sini.
Konsultasikan seputar keamanan siber atau cyber security untuk organisasi dan bisnis kamu dengan klik tombol dibawah ya PrimoCS!