Hacker Iran Menyamar Jadi Jurnalis untuk Sebar Malware Jahat ke Negara Barat
gospelangolano.com, Jakarta – Peretas yang disponsori negara Iran, yang diduga kelompok APT42, menggunakan serangan rekayasa sosial sebagai jurnalis.
Tujuannya adalah untuk menyusup ke jaringan perusahaan sasaran dan lingkungan cloud di negara-negara Barat dan Timur Tengah.
APT42 pertama kali didokumentasikan pada bulan September 2022 oleh perusahaan keamanan siber Mandiant, yang melaporkan bahwa pelaku ancaman telah aktif sejak tahun 2015 – dengan setidaknya 30 operasi di 14 negara.
Organisasi peretas atau mata-mata yang berafiliasi dengan Organisasi Intelijen Korps Garda Revolusi Islam (IRGC-IO) Iran diketahui menargetkan LSM, media, akademisi, aktivis, dan penegak hukum.
Mengutip Bleeping Computers pada Selasa (7/5/2024), analis keamanan Google mengatakan peretas yang mempelajari operasi APT42 menggunakan malware tersebut untuk mengirim email berbahaya untuk menargetkan dua backend tertentu:
Serangan APT42 mengandalkan rekayasa sosial dan spear-phishing, dengan tujuan akhir menginfeksi perangkat target dengan pintu belakang khusus yang memungkinkan penyerang mendapatkan akses awal ke jaringan organisasi.
Serangan dimulai dengan email dari jurnalis, perwakilan LSM, atau penyelenggara acara.
Organisasi berita yang ditiru oleh APT42 termasuk The Washington Post (AS), The Economist (Inggris), The Jerusalem Post (IL), Khaleej Times (UEA) dan Al-Salaba (Azerbaijan).
Mandiant mengatakan serangan tersebut sering menggunakan domain tipografi seperti “Washington Post[.] Press.”
Setelah penyerang melakukan kontak yang cukup dengan korban untuk membangun kepercayaan, mereka mengirimkan tautan ke dokumen atau artikel berita terkait pertemuan tersebut berdasarkan topik yang dipilih.
Mengklik tautan tersebut membawa target ke halaman login palsu yang mencakup layanan populer seperti Google, Microsoft, dan platform tertentu yang terkait dengan industri korban.
Situs penipuan ini tidak hanya mengambil kredensial akun korbannya, tetapi juga token Multi-Factor Authentication (MFA).
Setelah mencuri semua informasi yang diperlukan untuk meretas akun korban, peretas menyusup ke jaringan perusahaan atau lingkungan cloud dan mengumpulkan data sensitif seperti email dan dokumen.
Menurut Google, untuk menghindari deteksi dan gangguan jaringan, APT42 membatasi aktivitasnya pada cara kerja perangkat cloud, menghapus riwayat Google Chrome setelah memeriksa file, dan menggunakan alamat email. Ekspor file ke akun OneDrive organisasi korban
Selain itu, APT42 menggunakan node ExpressVPN, domain host cloud flare, dan server VPS sementara untuk mempersulit deteksi saat berkomunikasi dengan jaringan korban.
APT42 menggunakan dua pintu belakang spesifik yaitu NiceCurl dan Temecat, masing-masing dirancang untuk tugas tertentu dalam operasi spionase dunia maya.
Nicecurl adalah pintu belakang berbasis VBScript untuk menjalankan perintah, mengunduh dan mengeksekusi muatan, atau menambang data pada host yang terinfeksi.
Meskipun Temacate adalah backdoor PowerShell yang relatif canggih, Temacate dapat menjalankan kode PS atau skrip C# secara sewenang-wenang, memberikan APT42 banyak fleksibilitas operasional untuk pencurian data dan kontrol seluruh sistem.