Grup peretasan APT (ancaman persisten lanjutan) China yang sebelumnya tidak dikenal yang dijuluki ‘Earth Longzhi’ menargetkan organisasi di Asia Timur, Asia Tenggara, dan Ukraina.
Pelaku ancaman telah aktif setidaknya sejak tahun 2020, menggunakan versi kustom pemuat Cobalt Strike untuk memasang pintu belakang persisten pada sistem korban.
Menurut laporan Trend Micro baru, Earth Longzhi memiliki TTP (teknik, taktik, dan prosedur) yang serupa dengan ‘Bumi Baku,’ keduanya menganggap subgrup dari grup peretasan yang didukung negara yang dilacak sebagai APT41.
Kampanye lama Earth Longzhi
Laporan Trend Micro menggambarkan dua kampanye yang dilakukan oleh Earth Longzhi, dengan yang pertama terjadi antara Mei 2020 dan Februari 2021.
Selama waktu itu, para peretas menyerang beberapa perusahaan infrastruktur di Taiwan, sebuah bank di China, dan sebuah organisasi pemerintah di Taiwan.
Dalam kampanye ini, para peretas menggunakan pemuat Cobalt Strike khusus ‘Symatic’, yang menampilkan sistem anti-deteksi yang canggih termasuk fungsi-fungsi berikut:
- Hapus kait API dari ‘ntdll.dll,’ dapatkan konten file mentah, dan ganti gambar ntdll dalam memori dengan salinan yang tidak dipantau oleh alat keamanan.
- Memunculkan proses baru untuk injeksi proses dan menyamarkan proses induk untuk mengaburkan rantai.
- Suntikkan payload yang didekripsi ke dalam proses yang baru dibuat.
Untuk operasi utamanya, Earth Longzhi menggunakan alat peretas lengkap yang menggabungkan berbagai alat yang tersedia untuk umum dalam satu paket.
Alat ini dapat membuka proxy Socks5, melakukan pemindaian kata sandi pada server MS SQL, menonaktifkan perlindungan file Windows, mengubah cap waktu file, memindai port, meluncurkan proses baru, melakukan spoofing RID, menghitung drive, dan menjalankan perintah dengan ‘SQLExecDirect.’
kampanye 2022
Kampanye kedua yang diamati oleh Trend Micro berlangsung dari Agustus 2021 hingga Juni 2022, menargetkan perusahaan asuransi dan pengembangan perkotaan di Filipina dan perusahaan penerbangan di Thailand dan Taiwan.
Dalam serangan yang lebih baru ini, Earth Longzhi mengerahkan satu set pemuat Cobalt Strike kustom baru yang menggunakan algoritme dekripsi berbeda dan fitur tambahan untuk kinerja (multi-threading) dan efektivitas (dokumen umpan).
Injeksi payload Cobalt Strike ke dalam proses yang baru dibuat yang berjalan di memori tetap sama seperti di Symatic, tidak pernah menyentuh disk untuk menghindari risiko deteksi.
Salah satu varian BigpipeLoader mengikuti rantai pemuatan muatan yang sangat berbeda, menggunakan sideloading DLL (WTSAPI32.dll) pada aplikasi yang sah (wusa.exe) untuk menjalankan loader (chrome.inf) dan menyuntikkan Cobalt Strike ke memori.
Setelah Cobalt Strike berjalan pada target, peretas menggunakan versi kustom Mimikatz untuk mencuri kredensial dan menggunakan eksploitasi ‘PrintNighmare’ dan ‘PrintSpoofer’ untuk eskalasi hak istimewa.
Untuk menonaktifkan produk keamanan di host, Earth Longzhi menggunakan alat bernama ‘ProcBurner,’ yang menyalahgunakan driver yang rentan (RTCore64.sys) untuk memodifikasi objek kernel yang diperlukan.
“ProcBurner dirancang untuk menghentikan proses tertentu yang sedang berjalan,” menjelaskan Trend Micro dalam laporan.
“Sederhananya, ia mencoba mengubah perlindungan proses target dengan secara paksa menambal izin akses di ruang kernel menggunakan RTCore64.sys yang rentan.”
Khususnya, driver MSI Afterburner yang sama adalah juga digunakan oleh ransomware BlackByte dalam serangan Bring Your Own Vulnerable Drive (BYOVD) yang menyalahgunakannya untuk melewati lebih dari seribu perlindungan keamanan.
ProcBurner pertama kali mendeteksi OS, karena proses patching kernel berubah tergantung pada versinya. Alat ini mendukung rilis berikut:
- Windows 7 SP1
- Windows Server 2008 R2 SP1
- Windows 8.1
- Windows Server 2012 R2
- Windows 10 1607, 1809, 20H2, 21H1
- Windows Server 2018 1809
- Windows 11 21H2, 22449, 22523, 22557
Alat peniada perlindungan kedua, ‘AVBuner,’ juga menyalahgunakan driver yang rentan untuk membatalkan pendaftaran produk keamanan dengan menghapus rutin panggilan balik kernel mereka.
Komoditas + kebiasaan
Grup APT semakin mengandalkan malware komoditas dan kerangka kerja serangan seperti Cobalt Strike untuk mengaburkan jejak mereka dan mempersulit atribusi.
Namun, peretas canggih masih mengembangkan dan menggunakan alat khusus untuk pemuatan muatan tersembunyi dan untuk melewati perangkat lunak keamanan.
Dengan mengikuti taktik ini, Earth Longzhi telah berhasil tetap tidak terdeteksi selama setidaknya 2,5 tahun sekarang, dan mengikuti ini paparan oleh Trend Micro, mereka cenderung beralih ke taktik baru.
