Kampanye Peretasan APT IndigoZebra Menargetkan Pemerintah Afghanistan

  • Whatsapp
Kampanye Peretasan APT IndigoZebra Menargetkan Pemerintah Afghanistan

Peneliti keamanan siber memperingatkan serangan yang sedang berlangsung yang dikoordinasikan oleh tersangka pelaku ancaman berbahasa China yang menargetkan pemerintah Afghanistan sebagai bagian dari kampanye spionase yang mungkin berasal dari tahun 2014.

Perusahaan keamanan siber Israel, Check Point Research, mengaitkan penyusupan tersebut dengan kelompok peretasan yang dilacak dengan nama “IndigoZebra,” dengan aktivitas sebelumnya ditujukan ke negara-negara Asia Tengah lainnya, termasuk Kirgistan dan Uzbekistan.

Bacaan Lainnya

“Aktor ancaman di balik spionase memanfaatkan Dropbox, layanan penyimpanan cloud yang populer, untuk menyusup ke Dewan Keamanan Nasional Afghanistan (NSC),” kata para peneliti dalam laporan teknis. tulisan berbagi dengan The Hacker News, menambahkan bahwa mereka “mengatur penipuan gaya kementerian-ke-kementerian, di mana email dikirim ke target profil tinggi dari kotak surat korban profil tinggi lainnya.”

Tim Stack Overflow

IndigoZebra pertama kali terungkap pada Agustus 2017 ketika Kaspersky terperinci operasi rahasia yang memilih bekas Republik Soviet dengan banyak malware seperti meterpreter, RATU Poison Ivy, xDown, dan malware yang sebelumnya tidak terdokumentasi bernama xCaon.

Penyelidikan Check Point atas serangan tersebut dimulai pada bulan April ketika pejabat NSC mulai menerima email iming-iming yang diduga mengaku berasal dari Kantor Administrasi Presiden Afghanistan.

Sementara pesan tersebut mendesak penerima untuk meninjau modifikasi dalam dokumen terlampir terkait dengan konferensi pers NSC yang tertunda, membuka file umpan – arsip RAR yang dilindungi kata sandi (“NSC Press conference.rar”) – ditemukan memicu rantai infeksi yang memuncak dalam pemasangan pintu belakang (“spools.exe”) pada sistem yang ditargetkan.

Selain itu, serangan tersebut menyalurkan perintah berbahaya ke mesin korban yang disamarkan menggunakan Dropbox API, dengan implan membuat folder unik untuk setiap host yang disusupi di akun Dropbox yang dikendalikan penyerang.

Pintu belakang, dijuluki “BoxCaon,” mampu mencuri data rahasia yang tersimpan di perangkat, menjalankan perintah sewenang-wenang, dan mengekstrak hasilnya kembali ke folder Dropbox. Perintah (“c.txt”) itu sendiri ditempatkan di sub-folder terpisah bernama “d” di folder Dropbox korban, yang diambil oleh malware sebelum dieksekusi.

Manajemen Kata Sandi Perusahaan

Koneksi BoxCaon ke IndigoZebra berasal dari kesamaan yang dimiliki oleh malware dengan xCaon. Check Point mengatakan telah mengidentifikasi sekitar 30 sampel xCaon yang berbeda – yang paling awal berasal dari tahun 2014 – yang semuanya bergantung pada protokol HTTP untuk komunikasi perintah dan kontrol.

Data telemetri yang dianalisis oleh para peneliti juga menemukan bahwa varian HTTP terutama mengarahkan pandangan mereka pada entitas politik yang berlokasi di Kirgistan dan Uzbekistan, menunjukkan pergeseran penargetan dalam beberapa tahun terakhir bersama dengan perangkat yang diubah.

“Yang luar biasa di sini adalah bagaimana para pelaku ancaman memanfaatkan taktik penipuan kementerian-ke-kementerian,” kata Lotem Finkelsteen, kepala intelijen ancaman di Check Point.

“Taktik ini kejam dan efektif dalam membuat siapa pun melakukan apa pun untuk Anda; dan dalam kasus ini, aktivitas jahat terlihat pada tingkat kedaulatan tertinggi. Selain itu, patut dicatat bagaimana pelaku ancaman memanfaatkan Dropbox untuk menutupi diri mereka dari deteksi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *