Aktor ancaman yang sebelumnya tidak dikenal bernama Hydrochasma telah menargetkan pengiriman dan laboratorium medis yang terlibat dalam pengembangan dan perawatan vaksin COVID-19.
Tujuan para peretas tampaknya adalah mencuri data intelijen dan aktivitas mereka telah dilacak sejak Oktober lalu oleh pemburu ancaman di Symantec, sebuah perusahaan Broadcom.
Karakteristik serangan Hydrochasma adalah bahwa mereka hanya mengandalkan alat sumber terbuka dan taktik “hidup dari tanah” (LotL), tanpa meninggalkan jejak yang dapat mengarah pada atribusi.
Aliran serangan
Serangan Hydrochasma kemungkinan dimulai dengan email phishing, sebuah asumsi berdasarkan fakta bahwa Symantec mendeteksi dokumen yang dapat dijalankan yang meniru dokumen sebagai asal aktivitas berbahaya pada mesin yang disusupi.
Dokumen palsu menggunakan tema “informasi spesifikasi produk” saat menargetkan perusahaan pelayaran dan “resume pelamar kerja” saat menargetkan laboratorium medis.
Setelah mengkompromikan mesin, penyerang menggunakan akses untuk menjatuhkan Fast Reverse Proxy (FRP), yang dapat mengekspos server lokal web publik di belakang NAT (Network Address Translation) atau firewall.
Selanjutnya, penyusup menjatuhkan alat-alat berikut pada sistem yang terinfeksi:
- Meterpreter (menyamar sebagai Microsoft Edge Updater) alat dengan kemampuan pengujian penetrasi lanjutan yang menyediakan akses jarak jauh
- Pergi pergi: mesin pemindaian jaringan otomatis
- Pembuang Prosesuntuk membuang kata sandi domain (lsass.exe)
- Suar Cobalt Strikeuntuk menjalankan perintah, menyuntikkan proses, mengunggah/mengunduh file
- Alat pemindaian AlliNdigunakan untuk gerakan lateral
- Fscan: buka pemindai port
- Dogz: alat proxy VPX gratis
- SoftEtherVPN: alat VPN sumber terbuka gratis
- Procdump: utilitas Microsoft Sysinternals yang memungkinkan pembuatan dump crash, dump proses, dan untuk memantau penggunaan CPU aplikasi
- BrowserGhost: pengambil kata sandi browser
- Dapatkan proxy: alat terowongan
- Ntlmrelay: digunakan untuk serangan relai NTLM dan mencegat permintaan otentikasi yang valid
- Penjadwal Tugas: mengotomatiskan tugas pada sistem
- Go-strip: mengurangi ukuran biner Go
- HackBrowserData: utilitas sumber terbuka untuk mendekripsi data browser
Menggunakan daftar lengkap alat yang tersedia untuk umum membuat sulit untuk menghubungkan aktivitas ke grup ancaman tertentu, dan menunjukkan bahwa penyerang bertujuan untuk tetap berada di jaringan korban untuk waktu yang lama.
“Alat yang digunakan oleh Hydrochasma menunjukkan keinginan untuk mencapai akses yang gigih dan diam-diam ke mesin korban, serta upaya untuk meningkatkan hak istimewa dan menyebar secara lateral ke seluruh jaringan korban,” komentar Symantec.
“Sementara peneliti Symantec tidak mengamati data yang diekstraksi dari mesin korban, beberapa alat yang digunakan oleh Hydrochasma memungkinkan akses jarak jauh dan berpotensi digunakan untuk mengeksfiltrasi data.”
Para peneliti tidak mengecualikan kemungkinan bahwa Hydrochasma dikenal sebagai aktor ancaman yang mulai bereksperimen dengan penggunaan eksklusif alat dan taktik LotL dalam kampanye tertentu untuk menutupi jejak mereka.
Saat ini, satu-satunya petunjuk yang menunjukkan jenis aktor Hydrochasma diberikan oleh korbannya, yang menurut Symantec berlokasi di Asia. Namun, indikasi ini saja tidak cukup untuk membuat profil yang tepat.
