Seorang aktor ancaman perhubungan geopolitik Iran telah ditemukan menyebarkan dua malware bertarget baru yang datang dengan fungsi pintu belakang "sederhana" sebagai bagian dari intrusi terhadap entitas pemerintah Timur Tengah yang tidak disebutkan namanya pada November 2021.
Perusahaan keamanan siber Mandiant mengaitkan serangan itu dengan klaster yang tidak dikategorikan yang dilacaknya di bawah moniker UNC3313 , yang dinilai dengan "kepercayaan sedang" yang terkait dengan kelompok yang disponsori negara MuddyWater.
"UNC3313 melakukan pengawasan dan mengumpulkan informasi strategis untuk mendukung kepentingan dan pengambilan keputusan Iran," kata peneliti Ryan Tomcik, Emiel Haeghebaert, dan Tufail Ahmed . "Pola penargetan dan umpan terkait menunjukkan fokus yang kuat pada target dengan hubungan geopolitik."
Pada pertengahan Januari 2022, badan intelijen AS mencirikan MuddyWater (alias Static Kitten, Seedworm, TEMP.Zagros, atau Mercury) sebagai elemen bawahan Kementerian Intelijen dan Keamanan (MOIS) Iran yang telah aktif setidaknya sejak 2018 dan sedang diketahui menggunakan berbagai macam alat dan teknik dalam operasinya.
Serangan dikatakan telah diatur melalui pesan spear-phishing untuk mendapatkan akses awal, diikuti dengan memanfaatkan alat keamanan ofensif yang tersedia untuk umum dan perangkat lunak akses jarak jauh untuk pergerakan lateral dan mempertahankan akses ke lingkungan.
Email phishing dibuat dengan iming-iming promosi pekerjaan dan menipu banyak korban untuk mengklik URL untuk mengunduh file arsip RAR yang dihosting di OneHub, yang membuka jalan bagi pemasangan ScreenConnect, perangkat lunak akses jarak jauh yang sah, untuk mendapatkan pijakan.
"UNC3313 bergerak cepat untuk membangun akses jarak jauh dengan menggunakan ScreenConnect untuk menyusup ke sistem dalam waktu satu jam setelah kompromi awal," catat para peneliti, menambahkan insiden keamanan dengan cepat diatasi dan diperbaiki.
Fase serangan berikutnya melibatkan peningkatan hak istimewa, melakukan pengintaian internal pada jaringan yang ditargetkan, dan menjalankan perintah PowerShell yang dikaburkan untuk mengunduh alat dan muatan tambahan pada sistem jarak jauh.
Juga diamati adalah pintu belakang yang sebelumnya tidak berdokumen yang disebut STARWHALE, File Skrip Windows (.WSF) yang menjalankan perintah yang menerima perintah dari server command-and-control (C2) yang di-hardcode melalui HTTP.
Implan lain yang diberikan selama serangan adalah GRAMDOOR, dinamai demikian karena penggunaan Telegram API untuk komunikasi jaringannya dengan server yang dikendalikan penyerang dalam upaya untuk menghindari deteksi, sekali lagi menyoroti penggunaan alat komunikasi untuk memfasilitasi eksfiltrasi dari data.
Temuan ini juga bertepatan dengan penasehat bersama baru dari badan keamanan siber dari Inggris dan AS, yang menuduh kelompok MuddyWater melakukan serangan spionase yang menargetkan sektor pertahanan, pemerintah daerah, minyak dan gas alam serta telekomunikasi di seluruh dunia.
source: thehackernews
Posting Komentar