PERETAS RUSSIA

Peretas Rusia Menyerang Organisasi Diplomatik di Eropa, Amerika, Dan Asia

Kelompok peretas Rusia yang disponsori negara telah diamati menyerang beberapa entitas diplomatik dan pemerintah di wilayah berikut:-

  • Eropa
  • Amerika
  • Asia

Serangan ini adalah bagian dari serangkaian kampanye phishing yang dimulai pada 17 Januari 2022. Sebuah kelompok peretasan yang disebut APT29 (alias Cozy Bear, Dukes, dan Yttrium) telah dikaitkan dengan serangan oleh intelijen ancaman dan perusahaan respons insiden Mandiant. Badan Intelijen Asing Rusia diyakini mensponsori APT29 dan selama SolarWinds Cyberattack 2020, penjahat dunia maya mampu menembus ratusan organisasi, yang menyebabkan ratusan pelanggaran. Inilah yang dinyatakan Mandiant dalam laporan minggu lalu :- “Spear-phishing adalah gelombang serangan phishing terbaru oleh APT29, yang bertujuan untuk mendapatkan data diplomatik dan informasi kebijakan luar negeri dari pemerintah di seluruh dunia.”

Akses Awal

Diyakini bahwa APT29 mengirim email spear-phishing yang disamarkan sebagai pembaruan administratif kedutaan untuk mendapatkan akses ke lingkungan korban. Email phishing ini menggunakan email dari entitas diplomatik lain yang sah, tetapi telah disusupi oleh peretas jahat. Sementara perusahaan keamanan siber, Mandiant menduga bahwa APT29 menargetkan daftar besar penerima yang terdaftar secara publik oleh personel kedutaan sebagai titik kontak.

Ada penetes HTML yang ada di semua email phishing yang dikenal sebagai ROOTSAW yang dapat digunakan untuk menjatuhkan kode HTML berbahaya oleh pelaku ancaman. Di sini, file IMG atau ISO dikirimkan ke sistem korban melalui penyelundupan HTML oleh pelaku ancaman. Sistem komputer yang telah terinfeksi ROOTSAW akan terinfeksi oleh proses yang memulai urutan infeksi yang akan menjalankan pengunduh yang disebut BEATDROP segera setelah dibuka.

Rantai phishing

BEATDROP adalah bagian dari perangkat lunak yang ditulis dalam C yang dimaksudkan untuk mengambil malware dari server perintah-dan-kontrol jarak jauh, yang dapat diakses melalui desktop jarak jauh. Penyerang mencapai ini dengan mengeksploitasi layanan Trello Atlassian untuk menyimpan data korban dan mendapatkan muatan shellcode yang dienkripsi dengan AES dan kemudian dieksekusi saat korban login. Selain itu, untuk mendapatkan pijakan dalam lingkungan, operator APT29 juga menggunakan alat bernama BOOMMIC (juga dikenal sebagai VaporRage). Pelaku ancaman beralih dari BEATDROP ke BEACON, pemuat berbasis C++ yang diamati pada Februari 2022, dan ini dianggap sebagai hasil dari pergeseran operasional berikutnya yang diamati pada Februari 2022.

Cobalt Strike adalah kerangka kerja yang memfasilitasi beberapa kemampuan utama berdasarkan BEACON, sebuah program yang ditulis dalam C atau C++, dan di bawah ini kami telah menyebutkan semua kemampuan:-

  • Eksekusi perintah sewenang-wenang
  • Transfer file
  • Menangkap tangkapan layar
  • Pencatatan kunci

Perlu juga dicatat bahwa temuan tersebut juga berkorelasi dengan laporan khusus yang diterbitkan oleh Microsoft, yang juga melaporkan upaya Nobelium untuk membobol perusahaan IT. Meskipun tampaknya semua perusahaan TI ini terutama melayani pelanggan pemerintah negara-negara anggota NATO. Tapi, di sini para peretas mengambil informasi dari organisasi kebijakan luar negeri Barat ini dan menggunakannya untuk tujuan mereka sendiri.

Sumber asli : cybersecuritynews