Epoch Times
Sebuah laporan terbaru dari perusahaan intelijen ancaman siber global EclecticIQ yang berbasis di Belanda menemukan bahwa hacker yang didukung oleh negara Tiongkok menyamar sebagai perusahaan Taiwan Semiconductor Manufacturing Company (TSMC) untuk mengirimkan email phishing kepada perusahaan semikonduktor di Taiwan, Hong Kong, dan Singapura.
Begitu penerima membuka dokumen phishing tersebut, komputer mereka akan menjalankan program jahat bernama HyperBro (backdoor), yang kemudian digunakan sebagai jalur untuk menginstal perangkat lunak simulasi serangan komersial dan alat exploitasi lanjutan lainnya.
Laporan yang dirilis pada Kamis (5 Oktober 2024) ini mengungkapkan bahwa email phishing tersebut bertujuan untuk menyebarkan Cobalt Strike beacon. Sebelumnya, beberapa kelompok hacker Advanced Persistent Threat (APT) telah menggunakan alat Cobalt Strike untuk infiltrasi. Cobalt Strike adalah sebuah kerangka kerja serangan pasca-eksploitasi berbasis Java yang dapat digunakan lintas platform untuk kolaborasi tim.
Menurut laporan tersebut, HyperBro akan mengeksekusi file vfhost.exe melalui aplikasi dari perusahaan keamanan siber CyberArk, menggunakan teknik side-loading DLL (DLL Side-loading), kemudian menjalankan komponen Beacon dari Cobalt Strike di memori (In-memory).
Setelah menganalisis komponen Beacon tersebut, para peneliti menemukan bahwa hacker menggunakan alat pengunduh berbahaya yang belum pernah diungkapkan sebelumnya untuk melakukan infiltrasi.
Alat ini menggunakan modul PowerShell dan BitsTransfer bawaan Windows untuk mendapatkan program jahat dari server enkripsi/dekripsi Cobra DocGuard milik perusahaan Tiongkok yang telah diretas, yaitu EsafeNet. Setelah program jahat tersebut diinstal dan dijalankan, sebuah program implantasi bernama ChargeWeapon yang ditulis dalam bahasa Go akan disebarkan melalui pengunduh tersebut, memungkinkan hacker untuk memperoleh informasi dari komputer korban.
Peneliti EclecticIQ, Arda Büyükkaya, dalam analisisnya pada hari Kamis mengatakan, “ChargeWeapon dirancang untuk mendapatkan akses jarak jauh dan mengirimkan informasi perangkat serta jaringan dari host yang terinfeksi ke server (Command and Control) yang dikendalikan oleh penyerang.”
Hacker Tiongkok juga menggunakan file executable mcods.exe yang ditandatangani oleh perusahaan keamanan siber McAfee, menggunakan teknik DLL side-loading untuk menjalankan kode Cobalt Strike. Alamat IP server C2 yang dihubungkan oleh kode Shell ini identik dengan HyperBro.
Laporan tersebut menyebutkan bahwa hacker Tiongkok telah merancang berbagai metode untuk menyusup ke target yang diinginkan.
Perusahaan keamanan siber asal Belanda ini menyimpulkan bahwa aktivitas ini terkait dengan hacker yang didukung oleh negara Tiongkok, dan kelompok hacker yang menggunakan metode ini hampir sepenuhnya adalah kelompok yang dikenal sebagai Lucky Mouse (juga dikenal sebagai APT27, Budworm, dan Emissary Panda).
Dalam rantai serangan yang tercatat oleh EclecticIQ, setelah HyperBro dieksekusi, sebuah file PDF bertema TSMC akan ditampilkan.
Büyükkaya menjelaskan, “Dengan menyajikan tampilan PDF yang terlihat normal sementara di latar belakang perangkat lunak jahat berjalan secara diam-diam, peluang kecurigaan korban dapat diminimalkan.”
Sebuah laporan dari Departemen Pertahanan Amerika Serikat yang dirilis pada September lalu menyatakan bahwa Beijing menimbulkan “ancaman spionase siber yang luas dan umum” terhadap Amerika Serikat, dengan mengatakan bahwa Tiongkok mencuri rahasia teknologi dan melakukan kegiatan pengawasan untuk mendapatkan keuntungan strategis.
Departemen Pertahanan menyatakan, “Republik Rakyat Tiongkok menggunakan metode siber untuk melakukan spionase, pencurian, dan infiltrasi yang berlangsung lama terhadap jaringan pertahanan kritis dan infrastruktur penting Amerika Serikat, terutama pangkalan industri pertahanan (DIB).” (Jhon)
 untuk mengirimkan email phishing kepada perusahaan semikonduktor di Taiwan, Hong Kong, dan Singapura.){kind=link}