Sekelompok peretas menggunakan teknik canggih untuk membajak percakapan email yang sedang berlangsung untuk menyisipkan dokumen berbahaya yang terlihat seperti dari sumber yang sah dan menginfeksi target lain yang berpartisipasi dalam percakapan yang sama.
Serangan jenis ini tergantung pada peretas yang mengkompromikan salah satu dari dua atau lebih orang yang terlibat dalam pertukaran email. Begitu pun penyebarannya juga akan meningkat dan masif meluas jika semakin banyak yang berhasil dikompromikan oleh pelaku.
Para pelaku mengambilalih akun email korban secara diam-diam, mempelajari percakapan pemilik akun yang diretas, dan mengirim pesan baru ke thread yang sedang berlangsung, membawa dokumen yang berisi jebakan.
Namun taktik seperti ini tidak bisa dikatakan sebagai hal yang baru karena sebelumnya pernah dilakukan oleh penjahat online lain.
Bedanya serangan yang dilakukan sekarang jauh lebih besar, dan bergerak secara liar di dunia maya sejak bulan Mei lalu.
Korea Utara
Serangan Spear phishing sangat canggih ini terdeteksi oleh peneliti keamanan, dan telah menargetkan sebuah bank yang berbasis di Timur Tengah,
Selain itu, mereka juga menyerang perusahaan layanan HAKI berbasis di Eropa, sebuah organisasi olahraga internasional, dan bahkan pengguna komputer rumahan.
Kemampuan mereka membajak percakapan email dalam kombinasi bahasa Inggris dan bahasa asli target, menunjukkan bahwa peretas sudah mempersiapkan diri sedini mungkin.
Kelebihan lain dapat dilihat dari kecanggihan dan kemampuan kelompok tersebut untuk menjalin hubungan baik bahkan dalam diskusi non Inggris.
Menurut laporan sebelumnya menunjukkan bahwa para peretas mungkin beroperasi di Korea Utara, atau telah memilih target yang memiliki ketertarikan dengan pemerintah Korea Utara.
Peretas Korea Utara secara historis sengaja menargetkan banyak perusahaan untuk spionase dan keuntungan finansial, berbeda dengam di masa lampau.
Di masa lalu, kelompok yang sama juga menargetkan pembelot Korea Utara yang sedang bersembunyi di Inggris dan perusahaan Korea Selatan.
Pada kesempatan yang berbeda, mereka memiliki cukup banyak pengalaman untuk melakukan serangan serupa dan semakin mahir melakukannya.
Cara kerja
Untuk operasi terbaru mereka, kelompok tersebut membajak percakapan email dengan menyebarkan dokumen Word berbahaya di dalam percakapan yang sedang berlangsung.
Dokumen tersebut memanfaatkan kerentanan CVE-2017-0199 untuk mengunduh dan menjalankan malware tahap pertama yang menjadi alat dasar dengan dua tugas.
Terus bertahan dan melakukan boot melalui kunci registri dan mengunduh malware tahap kedua yang digunakan untuk melaksanakan dua tugas,
Yang pertama adalah operasi pengintaian dasar untuk mengidentifikasi host dengan informasi berharga dan kedua mengunduh muatan tahap ketiga.
Dalam sebuah laporan teknis yang merinci modus operandi dan fitur dari kedua jenis malware ini, mengatakan bahwa hal itu tidak dapat memperoleh muatan tahap ketiga ini, namun mereka melihat adanya tumpang tindih infrastruktur komando dan kontrol malware dengan operasi masa lalu.
Namun, peneliti juga mencatat bahwa infrastruktur C&C di-host di domain yang dikuasai peretas dan ada beberapa bulan di antara insiden tersebut, yang berarti bahwa kelompok yang berbeda mungkin menggunakan server yang sama.
Bacaan lainnya:
- Tempat Phising Paling Favorit
- Email Jadi Sumber Malapetaka
- Phising Aplikasi Berkirim Pesan
- Tiga Jenis Serangan BEC
- Mengatasi Business Email Compromise
- Serangan Email Palsu
- Template Email Tipuan
Sumber berita:
Sumber berita: