Bandit Caliente Menargetkan Individu Berbahasa Spanyol untuk Menyebarkan Malware Bandook

  • Whatsapp
Bandit Caliente Menargetkan Individu Berbahasa Spanyol untuk Menyebarkan Malware Bandook

 

Geng peretas baru TA2721 juga dikenal sebagai Bandit Caliente telah dilacak oleh para peneliti Proofpoint sejak Januari 2021. Menurut para peneliti, kelompok tersebut secara aktif menargetkan banyak industri, terutama berfokus pada hiburan dan keuangan.
Organisasi ini mendistribusikan trojan RAT yang dikenal tetapi jarang digunakan yang dikenal sebagai Bandook; mereka menggunakan umpan bahasa Spanyol untuk melakukannya. Para peneliti telah memberi label kelompok ‘Caliente Bandit’ karena mereka menggunakan akun hot-mail. Istilah Spanyol “Caliente” mengacu pada “panas.”
Para peneliti dengan bukti telah mulai melacak grup ini pada Januari 2021 dan diamati sekitar bulan April bahwa TA2721 mendistribusikan ancaman email mingguan Bándok. Meskipun kelompok ini menyerang beberapa organisasi di seluruh dunia, mereka yang memiliki nama keluarga Spanyol tetap menjadi target utama. Perlu dicatat bahwa perusahaan keamanan siber ESET awalnya mengungkapkan data malware yang digunakan oleh grup tersebut.
Kampanye menggunakan anggaran atau tema transaksi yang sama untuk mendorong pengguna mengunduh PDF berulang kali. URL dan kata sandi disertakan dalam PDF terlampir yang mengarah ke instalasi paket yang dilindungi kata sandi Bandook.
Menurut Proofpoint, TA2721 mengirim email pada tahun 2021, ke kurang dari 100 organisasi. Daftar ini mencakup institusi di Amerika Serikat, Eropa, dan Amerika Selatan. Serangan ini sebagian besar terkonsentrasi pada organisasi dengan nama keluarga Spanyol seperti Pérez, Castillo, Ortiz, dll.
Kabarnya, dua varian Bandook, malware komoditas, disebarkan oleh pelaku ancaman. Sementara itu, para ilmuwan mengamati pelaku yang mengadopsi langkah-langkah penghindaran deteksi seperti enkripsi kata sandi arsip yang terinfeksi.
Pelaku ancaman sering mengirimkan tautan dari alamat Hotmail atau Gmail ke unduhan Bandook. Istilah seperti “PRESUPUEST” dan “COTIZACION” umumnya ditemukan di baris subjek dan nama email. Namun, aktor tersebut membagikan URL secara langsung dalam satu upaya pada bulan Juni. Para peneliti telah menemukan bahwa URL menggunakan URL yang disingkat dari bit.ly dan rebrand.ly, yang telah mereka amati dari Januari hingga Juni 2021. Tautan ini dialihkan ke Spideroak[.]com, file hosting asli, untuk mengunduh file RAR palsu.
Bandook – Teknologi Akses Jarak Jauh (RAT), yang telah dapat diakses secara komersial di alam liar sejak 2007, ditulis dalam Delphi. Ini dapat digunakan untuk pengambilan dan perekaman audio dan video, keylogging, dan pencurian data.
Bukti menunjukkan bahwa TA2721 akan terus menggunakan sejumlah kecil varian malware dari Bandook, rantai infeksi yang sebanding, dan memilih beberapa domain C2. Penargetan yang tepat menunjukkan bahwa pelaku ancaman mengenali entitas target sebelum ancaman email dikirim.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *