Peretas menggunakan email perusahaan untuk mengirim alat akses jarak jauh MSP dalam upaya mereka melakukan operasi phising MSP.
Peretas MuddyWater, sebuah kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phising ke target mereka.
Grup mengadopsi taktik baru dalam operasi yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.
Ganti-ganti Tool
Operasi Phising MSP oleh MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu.
Aktivitas mereka pada tahun 2020 dan 2022 mengandalkan tool RemoteUtilities dan ScreenConnect, kemudian beralih ke Atera di Juli,
Serangan MuddyWater baru pada bulan Oktober diketahui menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk Managed Service Provider (MSP).
Dalam sebuah laporan diketahui bahwa vektor infeksi awal adalah phising yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.
Meskipun tanda tangan resmi perusahaan hilang dari pesan phising, namun korban masih mempercayai email tersebut karena berasal dari alamat resmi perusahaan yang mereka kenal.
Di antara target dalam operasi ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phising. Yang lainnya adalah penerima pesan jahat.
Ini adalah teknik yang dikenal untuk membangun kepercayaan. Pihak penerima mengetahui perusahaan yang mengirim surat tersebut.
Penginstal Syncro
Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, pelaku melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.
Lampiran tersebut bukanlah arsip atau file yang dapat dieksekusi yang tidak menimbulkan kecurigaan pengguna akhir.
Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.
Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan pelaku di masa lalu untuk kampanye peretasannya.
Syncro telah digunakan oleh pelaku lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.
Begitu berada di sistem target, pelaku dapat menggunakannya untuk menyebarkan backdoor guna membangun persistensi serta mencuri data.
Incar Perusahaan Israel
Target lain dalam operasi MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Pelaku menggunakan taktik yang sama dengan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.
Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.
Namun, meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.
Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.
Aktor tersebut dilacak dan memiliki nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.
Yang diduga terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.
Baca lainnya:
- Pemulihan Serangan Phising
- Kerugian dan Keterbatasan Email
- Incaran Hacker
- Penipuan World Cup 2022
- Mengurangi Ancaman Keamanan Email
- Phising Email
- Fitur Phising
Sumber berita: