Sofacy Group adalah kelompok spionase dunia maya yang diyakini memiliki hubungan dengan pemerintah Rusia, grup yang juga dikenal juga sebagai APT28 menyebar phising secara global baru-baru ini.
APT28 beroperasi sejak tahun 2007, kelompok ini diketahui menyasar pemerintah, militer, dan organisasi keamanan. Ini telah dikategorikan sebagai ancaman yang terus-menerus dan tingkat lanjut.
Phising Secara Global
APT28 sedang melakukan beberapa operasi phising menggunakan dokumen umpan yang meniru organisasi pemerintah dan non-pemerintah (LSM) di Eropa, Kaukasus Selatan, Asia, serta Amerika Utara dan Selatan.
Iming-iming yang terungkap mencakup campuran dokumen internal dan yang tersedia untuk umum, serta kemungkinan dokumen yang dibuat berkaitan dengan:
- Keuangan.
- Infrastruktur penting.
- Keterlibatan eksekutif.
- Keamanan siber.
- Kamanan maritim.
- Layanan kesehatan.
- Bisnis.
- Dan produksi industri pertahanan.
Para peneliti yang berhasil melacak mengetahui aktivitas tersebut dengan nama ITG05, yang juga dikenal sebagai Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (sebelumnya Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422, dan UAC-028.
Pengungkapan ini terjadi lebih dari tiga bulan setelah pelaku terlihat menggunakan umpan terkait dengan perang Israel-Hamas yang sedang berlangsung untuk mengirimkan backdoor khusus yang dijuluki HeadLace.
APT28 juga menargetkan entitas pemerintah Ukraina dan organisasi Polandia dengan pesan phising yang dirancang untuk menyebarkan implan khusus dan pencuri informasi seperti MASEPIE, OCEANMAP, dan STEELHOOK.
Operasi lain melibatkan eksploitasi kelemahan keamanan di Microsoft Outlook (CVE-2023-23397, skor CVSS: 9.8) untuk menjarah hash NT LAN Manager (NTLM) v2.
Sehingga meningkatkan kemungkinan bahwa pelaku ancaman dapat memanfaatkan kelemahan lain untuk mengekstrak hash NTLMv2 untuk digunakan dalam serangan relay.
Skema Phising yang Meluas
Operasi terbaru yang diamati antara akhir November 2023 dan Februari 2024, mereka memanfaatkan pengendali protokol URI “search-ms:” di Microsoft Windows untuk mengelabui korban agar mengunduh malware yang dihosting di server WebDAV yang dikendalikan aktor.
Ada bukti yang menunjukkan bahwa server WebDAV, serta server MASEPIE C2, mungkin dihosting di router Ubiquiti yang telah disusupi, sebuah botnet yang telah dihapus oleh pemerintah AS bulan lalu.
Serangan phising meniru entitas dari beberapa negara seperti Argentina, Ukraina, Georgia, Belarus, Kazakhstan, Polandia, Armenia, Azerbaijan, dan A.S., dengan menggunakan campuran dokumen asli pemerintah dan non-pemerintah yang tersedia untuk umum untuk mengaktifkan infeksi. rantai.
Dalam pembaruan metodologi mereka, ITG05 memanfaatkan penyedia hosting yang tersedia secara gratis, firstcloudit[.]com untuk melakukan payload guna memungkinkan operasi berkelanjutan.
Klimaks dari skema rumit APT28 berakhir dengan eksekusi MASEPIE, OCEANMAP, dan STEELHOOK, yang dirancang untuk:
- Mengekstraksi file.
- Menjalankan perintah arbitrary.
- Mencuri data browser.
OCEANMAP telah dicirikan sebagai versi CredoMap yang lebih mumpuni, pintu belakang lain yang sebelumnya diidentifikasi seperti yang digunakan oleh kelompok.
ITG05 tetap mampu beradaptasi terhadap perubahan peluang dengan memberikan metodologi infeksi baru dan memanfaatkan infrastruktur yang tersedia secara komersial, sambil secara konsisten mengembangkan kemampuan malware.
Demikian pembahasan mengenai APT28 menyebar phising secara global kali ini, semoga informasi yang diberikan dapat bermanfaat dan dapat menambah wawasan.
Baca lainnya:
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
- Dominasi Business Email Compromise
- Investigasi Serangan Phising
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
Sumber berita: