- Kelompok Silver Dragon yang didukung negara Tiongkok menargetkan pemerintah
- Penyerang menyalahgunakan layanan Google Cloud dan Windows secara sembunyi-sembunyi
- GearDoor pintu belakang khusus memungkinkan eksfiltrasi data rahasia
Pelaku ancaman yang disponsori negara Tiongkok terlihat menyalahgunakan Windows dan Google Layanan cloud menyembunyikan jejak mereka saat memata-matai target mereka di Asia Tenggara dan Eropa.
Yang baru laporan oleh Check Point Research (CPR) mengungkapkan bagaimana kelompok yang dijuluki Silver Dragon telah aktif setidaknya sejak pertengahan tahun 2024, menargetkan entitas pemerintah di negara-negara Eropa seperti Rusia, Polandia, Hongaria, dan Italia – tetapi juga Jepang, Myanmar, dan Malaysia.
Silver Dragon tampaknya menjadi bagian dari APT41, aktor terkenal yang disponsori negara dan sebagian besar terlibat dalam spionase dunia maya.
Memanfaatkan “kebisingan” biasa
Serangan biasanya dimulai dengan email phishing, meniru komunikasi resmi, dan membagikan dokumen serta tautan yang dipersenjatai. Alternatifnya, kelompok ini akan menggunakan sistem yang terekspos internet, membahayakan server, dan beralih lebih jauh ke jaringan internal untuk menerapkan alat tambahan.
Inti dari kampanye ini adalah kebiasaan pintu belakang disebut GearDoor yang, bukan server teduh biasa, menggunakan Google Drive sebagai infrastruktur perintah dan kontrol (C2). Setiap mesin yang terinfeksi membuat folder Google Cloud di akun khusus, mengunggah data detak jantung berkala, dan mengambil perintah operator yang disamarkan sebagai file biasa.
Semua intelijen yang dicuri dieksfiltrasi ke lokasi yang sama.
Silver Dragon juga terlihat membajak layanan Windows yang sah, menghentikan dan membuatnya kembali untuk memuat kode berbahaya dengan nama tepercaya. Ini termasuk utilitas Pembaruan Windows, Bluetooth, dan .NET Framework.
Dengan menyatu dengan aktivitas sistem normal, penyerang dapat bertahan lebih lama di sistem, tanpa ketahuan oleh pembela HAM. CPR mengatakan taktik ini bekerja sangat baik di lingkungan besar “di mana layanan sistem menghasilkan kebisingan rutin.”
Para peretas juga menggunakan berbagai alat pasca-eksploitasi, seperti SSHcmd, atau Cobalt Strike. Yang pertama adalah utilitas SSH ringan yang memungkinkan eksekusi perintah jarak jauh dan transfer file, sedangkan Cobalt Strike adalah alat pentesting yang sering disalahgunakan oleh pelaku ancaman.
“Daripada hanya mengandalkan infrastruktur yang dipesan lebih dahulu, aktor-aktor yang berpihak pada negara semakin menanamkan diri mereka dalam sistem perusahaan yang sah dan terpercaya layanan awan. Hal ini mengurangi visibilitas pertahanan perimeter tradisional dan memperpanjang waktu tunggu di dalam jaringan yang ditargetkan,” CPR menyimpulkan.
“Bagi para pemimpin eksekutif, implikasinya jelas: paparan tidak lagi terbatas pada malware yang terlihat jelas atau koneksi eksternal yang mencurigakan. Risiko kini mencakup penyalahgunaan layanan sah, platform cloud, dan layanan inti. sistem operasi komponen.”
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
