APT41 China Incar 13 Organisasi di Seluruh Dunia

Serangan APT41 China 2021 - Kelompok Advanced Persistent Threat (APT) China yang dikenal sebagai Winnti (alias APT41) telah menargetkan setidaknya 13 organisasi di berbagai negara, termasuk Amerika Serikat, Taiwan, India, Vietnam, dan China, dalam empat serangan berbeda pada tahun 2021.

Serangan ini menargetkan berbagai sektor, seperti publik, manufaktur, kesehatan, logistik, perhotelan, pendidikan, media, dan penerbangan, menurut laporan perusahaan cybersecurity Group-IB.

Salah satu serangan yang terkenal adalah serangan terhadap Air India pada Juni 2021, yang merupakan bagian dari operasi bernama ColunmTK. Tiga serangan lainnya, berdasarkan nama domain yang digunakan, diberi nama DelayLinkTK, Mute-Pond, dan Gentle-Voice.

APT41, juga dikenal sebagai Barium, Bronze Atlas, Wicked Panda, Double Dragon, atau Winnti, merupakan kelompok hacker China yang telah melakukan spionase yang disponsori negara dan operasi bermotivasi finansial sejak tahun 2007.

Para peneliti mencatat bahwa 2021 merupakan "tahun yang intens bagi APT41", dengan serangan yang sebagian besar menggunakan SQL injection pada domain tertentu sebagai vektor akses awal untuk menembus jaringan korban. Setelah itu, mereka menyebarkan malware Cobalt Strike khusus ke titik akhir.

"Untuk membahayakan korban mereka terlebih dahulu, anggota APT41 sering menggunakan phishing, mengeksploitasi kerentanan (termasuk Proxylogon), dan melakukan serangan supply chain," kata para peneliti.

Tindakan pasca-eksploitasi lainnya termasuk membangun kegigihan, pencurian kredensial, dan pengintaian menggunakan taktik living-off-the-land (LotL) untuk mendapatkan informasi tentang lingkungan yang dikompromikan dan bergerak secara lateral melintasi jaringan.

Group-IB menyatakan bahwa mereka mengidentifikasi 106 server Cobalt Strike berbeda yang hanya digunakan untuk perintah-dan-kontrol oleh APT41 antara awal 2020 dan akhir 2021. Sebagian besar server tersebut tidak lagi beroperasi.

Temuan ini menunjukkan bahwa aktor ancaman yang beragam terus menyalahgunakan kerangka simulasi musuh yang sah untuk tindakan berbahaya pasca-intrusi.

Analis Ancaman Grup-IB, Nikita Rostovtsev, menjelaskan bahwa alat ini sebelumnya populer di kalangan kelompok cybercriminal yang menargetkan bank. Namun, saat ini alat ini banyak digunakan oleh berbagai pelaku ancaman, termasuk operator ransomware terkenal.

Serangan APT41 ini menjadi pengingat penting bagi organisasi di berbagai sektor untuk meningkatkan kesadaran keamanan siber dan menerapkan langkah-langkah pengamanan yang tepat untuk melindungi diri dari ancaman siber yang canggih.

Berikut beberapa tips untuk meningkatkan keamanan siber:

• Gunakan kata sandi yang kuat dan unik untuk semua akun.
• Lakukan update software dan sistem operasi secara rutin.
• Terapkan solusi keamanan siber yang komprehensif.
• Lakukan pelatihan kesadaran keamanan siber untuk karyawan.
• Memiliki rencana respons insiden yang jelas.

Dengan mengikuti tips-tips ini, organisasi dapat membantu melindungi diri dari serangan APT41 dan ancaman siber lainnya.