APT41 China Incar 13 Organisasi di Seluruh Dunia Tahun Lalu

Mark Teknologi
Mark Teknologi
November 30, 2023


Advanced Persistent Threat (APT) China yang dilacak sebagai Winnti (alias APT41) telah menargetkan setidaknya 13 organisasi di Amerika Serikat, Taiwan, India, Vietnam, dan China dalam empat serangan berbeda pada tahun 2021.


"Industri yang ditargetkan termasuk sektor publik, manufaktur, perawatan kesehatan, logistik, perhotelan, pendidikan, serta media dan penerbangan," menurut sebuah laporan perusahaan cybersecurity Group-IB.


Ini termasuk serangan terhadap Air India, yang terungkap pada Juni 2021 sebagai bagian dari serangan dengan nama ColunmTK. Berdasarkan nama domain yang digunakan dalam penyerangan, tiga serangan lainnya diberi nama DelayLinkTK, Mute-Pond, dan Gentle-Voice.


APT41, juga dikenal sebagai Barium, Bronze Atlas, Wicked Panda, Double Dragon, atau Winnti, adalah kelompok ancaman siber Tiongkok terkemuka yang telah melakukan spionase yang disponsori negara secara paralel dengan operasi yang bermotivasi finansial setidaknya sejak 2007.



Musuh menggambarkan 2021 sebagai "tahun yang intens untuk APT41," dengan serangan yang sebagian besar menggunakan SQL injection pada domain tertentu sebagai vektor akses awal untuk menembus jaringan korban, diikuti dengan menyebarkan suar Cobalt Strike kustom ke titik akhir.


"Untuk membahayakan korban mereka terlebih dahulu, anggota APT41 sering menggunakan phishing, mengeksploitasi beberapa kerentanan (termasuk Proxylogon), dan melakukan supply chain attack," kata para peneliti.


Tindakan pasca-eksploitasi lainnya termasuk membangun kegigihan, pencurian kredensial, dan pengintaian menggunakan taktik living-off-the-land (LotL) untuk mendapatkan informasi tentang lingkungan yang dikompromikan dan bergerak secara lateral melintasi jaringan.


Perusahaan yang berbasis di Singapura menyatakan bahwa mereka mengidentifikasi 106 server Cobalt Strike berbeda yang hanya digunakan untuk perintah-dan-kontrol oleh APT41 antara awal 2020 dan akhir 2021. Sebagian besar server tidak lagi beroperasi.


Temuan menunjukkan bahwa aktor ancaman yang beragam terus menyalahgunakan kerangka simulasi musuh yang sah untuk tindakan berbahaya pasca-intrusi.


"Sebelumnya, alat ini dihargai oleh kelompok cybercriminal yang menargetkan bank, tetapi saat ini alat ini populer di antara banyak pelaku ancaman, termasuk operator ransomware terkenal," Analis Ancaman Grup-IB Nikita Rostovtsev menjelaskan.