Ancaman baru yang dijuluki NewsPenguin serbu pemerintah dengan melakukan operasi spionase terhadap kompleks industri selama berbulan-bulan, menggunakan malware canggih.
Para peneliti mengungkapkan bagaimana grup ini dengan hati-hati merencanakan operasi phising yang menargetkan pengunjung Pameran & Konferensi Maritim Internasional.
Peserta konferensi antara lain negara-negara, militer, dan pabrikan militer. Fakta itu, dikombinasikan dengan penggunaan umpan phising yang disiapkan lebih dahulu oleh NewPenguin dan detail kontekstual serangan lainnya, membuat para peneliti menyimpulkan bahwa pelaku secara aktif menargetkan organisasi pemerintah.
Trik Phising NewsPenguin
NewsPenguin serbu pemerintah dengan menarik korbannya menggunakan email spear phising dengan lampiran dokumen Word, yang diklaim sebagai “Manual Peserta” untuk konferensi PIMEC.
Meskipun nama filenya agak mencurigakan “Important Document.doc” isinya tampaknya diambil langsung dari materi acara yang sebenarnya, menampilkan stempel pemerintah dan estetika yang sama dengan media lain yang diterbitkan oleh penyelenggara.
Dokumen pertama kali dibuka dalam tampilan terproteksi. Korban kemudian harus mengklik “enable content” untuk membaca dokumen, yang memicu serangan injeksi template jarak jauh.
Serangan injeksi template jarak jauh secara cerdik menghindari deteksi yang mudah dengan menanam malware tidak di dalam dokumen tetapi di template yang terkait.
Ini adalah “teknik khusus yang memungkinkan serangan berada di bawah radar, terutama untuk gerbang email dan produk seperti deteksi endpoint dan respons (EDR).
Itu karena makro jahat tidak ada di file itu sendiri tetapi di server jarak jauh. Dengan kata lain, di luar infrastruktur korban. Dengan begitu, produk tradisional yang dibuat untuk melindungi titik akhir dan sistem internal tidak akan efektif.”
Teknik Penghindaran NewsPenguin
Muatan di akhir alur serangan dapat dieksekusi tanpa nama pembeda, yang dirujuk dalam entri blog sebagai “updates.exe”.
Alat spionase yang belum pernah dilihat sebelumnya ini mungkin paling terkenal karena seberapa jauh ia menolak deteksi dan analisis.
Misalnya, untuk menghindari kecurigaan di lingkungan jaringan target, malware beroperasi sangat lambat, membutuhkan waktu lima menit di antara setiap perintah.
Penundaan itu dimaksudkan agar tidak menyebabkan terlalu banyak aktivitas jaringan. Serangan ini dibuat sesenyap mungkin, untuk meminimalisasi jejak agar tidak mudah dideteksi oleh sistem deteksi.
Malware NewsPenguin juga melakukan serangkaian tindakan untuk memeriksa apakah itu diterapkan di mesin virtual atau sandbox.
Profesional cybersecurity suka menjebak dan menganalisis malware di lingkungan ini, yang mengisolasi setiap dampak berbahaya dari komputer atau jaringan lainnya.
Peretas, pada gilirannya, tahu untuk menghindari lingkungan yang terisolasi ini jika mereka tidak ingin ketahuan.
Para peneliti menghitung beberapa metode penghindaran yang berbeda di updates.exe, yang termasuk menggunakan GetTickCount.
Yakni fungsi Windows yang melaporkan sudah berapa lama sejak sistem dinyalakan, untuk mengidentifikasi sandbox yang melewati fungsi sleep, memeriksa ukuran hard drive, dan membutuhkan lebih dari 10GB RAM.
Motif NewsPenguin
Para peneliti tidak dapat menghubungkan NewsPenguin dengan pelaku ancaman yang dikenal. Konon, grup tersebut telah bekerja selama beberapa waktu sekarang.
Domain yang terkait dengan kampanye telah didaftarkan pada bulan Juni dan Oktober tahun lalu, meskipun konferensi hanya berlangsung akhir pekan ini.
Pelaku telah merencanakan operasi dengan matang, dengan melakukan reservasi domain dan IP berbulan-bulan sebelum digunakan
Ini menunjukkan bahwa NewsPenguin telah melakukan beberapa perencanaan sebelumnya dan kemungkinan telah melakukan aktivitas untuk sementara waktu.
Dan pada saat yang sama, NewsPenguin telah terus meningkatkan alatnya untuk menyusup ke sistem korban.
Antara sifat penyerangan yang terencana, dan profil para korban, gambaran yang lebih besar mulai menjadi jelas.
Peserta mendekati peserta pameran, mengobrol, dan bertukar informasi kontak, yang didaftarkan oleh personel stan sebagai petunjuk menggunakan formulir sederhana seperti spreadsheet.
Malware NewsPenguin dibangun untuk mencuri informasi, dan kita harus mencatat bahwa seluruh konferensi adalah tentang teknologi militer dan kelautan.
Baca lainnya:
- Memancing dengan Google Ads
- Sejarah Phising
- Situs Phising AnyDesk
- Phising Menggunakan Postingan Facebook
- Lampiran Email Aman Dibuka
- Tanda Peringatan Email Berbahaya
Sumber berita: