AS Merebut Domain yang Digunakan oleh Peretas SolarWinds dalam Serangan Spionase Cyber

  • Whatsapp
nama domain

Beberapa hari setelahnya Microsoft, Secureworks, dan kelenturan menjelaskan aktivitas spear-phishing baru yang dilepaskan oleh peretas Rusia yang melanggar perangkat lunak manajemen TI SolarWinds, Departemen Kehakiman AS (DoJ) Selasa mengatakan pihaknya melakukan intervensi untuk mengendalikan dua domain perintah-dan-kontrol (C2) dan distribusi malware digunakan dalam kampanye.

Penyitaan domain yang disahkan pengadilan terjadi pada 28 Mei, kata DoJ, menambahkan tindakan itu bertujuan untuk mengganggu eksploitasi tindak lanjut aktor ancaman terhadap korban serta memblokir kemampuan mereka untuk berkompromi dengan sistem baru.

Bacaan Lainnya

Departemen, bagaimanapun, memperingatkan bahwa musuh mungkin telah menyebarkan akses pintu belakang tambahan dalam periode sementara antara ketika kompromi awal terjadi, dan penyitaan terjadi minggu lalu.

auditor kata sandi

“[The] tindakan ini merupakan demonstrasi lanjutan dari komitmen Departemen untuk secara proaktif mengganggu aktivitas peretasan sebelum kesimpulan dari penyelidikan kriminal,” berkata Asisten Jaksa Agung John C. Demers untuk Divisi Keamanan Nasional Departemen Kehakiman.

“Penegakan hukum tetap menjadi bagian integral dari upaya gangguan yang lebih luas dari pemerintah AS terhadap aktivitas jahat yang mendukung dunia maya, bahkan sebelum penangkapan, dan kami akan terus mengevaluasi semua peluang yang mungkin untuk menggunakan otoritas unik kami untuk bertindak melawan ancaman tersebut.”

Dua domain yang disita yang dimaksud — theyardservice[.]com dan worldhomeoutlet[.]com — digunakan untuk berkomunikasi dan mengontrol pemuat Cobalt Strike khusus yang disebut NativeZone (“NativeCacheSvc.dll”) yang ditanamkan oleh para pelaku pada jaringan korban.

Kampanye berskala luas, yang terdeteksi pada 25 Mei, memanfaatkan akun USAID yang disusupi di perusahaan pemasaran email massal bernama Constant Contact untuk mengirim email phishing ke sekitar 3.000 akun email di lebih dari 150 organisasi yang berbeda.

Serangan Spionase Cyber

Setelah penerima mengklik hyperlink yang disematkan dalam pesan email, sub-domain dari layanan halaman[.]com digunakan untuk mendapatkan pijakan awal ke dalam mesin korban, memanfaatkannya untuk mengambil pintu belakang Cobalt Strike untuk mempertahankan kehadiran yang terus-menerus dan berpotensi mengirimkan muatan tambahan.

“Instance aktor dari alat Cobalt Strike menerima komunikasi C2 melalui subdomain lain dari layanan halaman[.]com, serta domain worldhomeoutlet[.]com,” kata DoJ.

Microsoft mengaitkan intrusi yang sedang berlangsung dengan aktor ancaman Rusia yang dilacaknya sebagai Nobelium, dan oleh komunitas keamanan siber yang lebih luas di bawah moniker APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity), dan Iron Ritual (Pengamanan).

Serangan Spionase Cyber

Perusahaan sejak itu telah mengidentifikasi tiga bagian malware yang lebih unik digunakan dalam rantai infeksi, yaitu BoomBox, EnvyScout, dan VaporRage, menambah gudang alat peretas yang semakin berkembang seperti Sunburst, Sunspot, Raindrop, Teardrop, GoldMax, GoldFinder, Sibot, dan Flipflop, sekali lagi menunjukkan prioritas keamanan operasional Nobelium saat menargetkan lingkungan yang berpotensi berisiko tinggi dan visibilitas tinggi.

BoomBox (“BOOM.exe”) adalah pengunduh yang bertanggung jawab untuk mengunduh dan menjalankan komponen tahap berikutnya dari akun Dropbox yang dikendalikan aktor, VaporRage (“CertPKIProvider.dll”) adalah pemuat shellcode yang digunakan untuk mengunduh, mendekode, dan menjalankan muatan sewenang-wenang sepenuhnya dalam memori.

EnvyScout (“NV.html”), di sisi lain, adalah penetes malware yang mampu mengaburkan dan menulis file ISO berbahaya ke disk dan dikirimkan ke target melalui lampiran HTML ke email spear-phishing.

Pola penyerang mengubah taktik beberapa kali selama kampanye terbaru menggarisbawahi kerusakan luas yang dapat ditimbulkan pada korban individu, lembaga pemerintah, organisasi non-pemerintah, dan bisnis swasta. Intrusi juga menyoroti praktik Nobelium dalam membangun akses pada satu sistem atau akun dan kemudian menggunakannya sebagai titik awal untuk mendapatkan akses ke banyak target.

Dalam “secara signifikan” berbeda dari peretasan SolarWinds dengan cara mengembangkan alat dan keahliannya, modus operandi memungkinkan tingkat siluman yang tinggi yang memungkinkan mereka tetap tidak terdeteksi untuk waktu yang lama, catat para peneliti.

“Nobelium adalah aktor yang beroperasi dengan tempo operasional yang cepat, sering memanfaatkan infrastruktur sementara, muatan, dan metode untuk mengaburkan aktivitas mereka,” kata Microsoft. “Desain dan pola penyebaran seperti itu, yang juga mencakup pementasan muatan di situs web yang disusupi, menghambat artefak tradisional dan investigasi forensik, memungkinkan muatan unik tetap belum ditemukan.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *