Minyak & Gas Ditargetkan dalam Kampanye Cyber-Spionage Selama Setahun

  • Whatsapp
Minyak & Gas Ditargetkan dalam Kampanye Cyber-Spionage Selama Setahun

 

Kampanye canggih yang ditujukan untuk perusahaan minyak dan gas multinasional besar telah berjalan selama lebih dari setahun, menyebarkan trojan akses jarak jauh (RAT) umum untuk tujuan spionase dunia maya, menurut para peneliti.
Menurut analisis Intezer, email spear-phishing dengan tautan berbahaya digunakan untuk menyebarkan RAT seperti Agen Tesla, AZORult, Formbook, Loki, dan Snake Keylogger pada komputer yang terinfeksi semuanya dengan tujuan mencuri data rahasia, informasi perbankan, dan informasi browser, serta mencatat stroke keyboard.
Sementara perusahaan energi adalah target utama, kampanye tersebut juga menargetkan beberapa perusahaan di industri TI, industri, dan media, menurut para peneliti. Targetnya terutama berbasis di Korea Selatan, tetapi juga mencakup perusahaan dari Amerika Serikat, Uni Emirat Arab, dan Jerman.
Laporan tersebut menyatakan, “Serangan itu juga menargetkan pemasok minyak dan gas, mungkin menunjukkan bahwa ini hanya tahap pertama dalam kampanye yang lebih luas. Jika pelanggaran berhasil, penyerang dapat menggunakan akun email penerima yang disusupi untuk mengirim email spear-phishing ke perusahaan yang bekerja dengan pemasok, sehingga menggunakan reputasi pemasok yang mapan untuk mengejar entitas yang lebih ditargetkan.”
Menurut Intezer, “Perusahaan tersebut adalah FEBC, penyiar radio agama Kristen Korea yang menjangkau negara-negara lain di luar Korea Selatan, banyak dari negara-negara ini yang meremehkan atau melarang agama. Salah satu tujuan FEBC adalah menumbangkan larangan agama di Korea Utara.”

Modus Operandi Serangan:
Menurut analis, penyerang meluncurkan serangan dengan mengirimkan email yang disesuaikan dengan staf di masing-masing perusahaan yang ditargetkan. Alamat email penerima berkisar dari dasar ([email protected] target[.]com, [email protected] target[.]com) kepada orang-orang tertentu di dalam organisasi, menyiratkan berbagai tingkat pengintaian.
Alamat email yang digunakan dalam kotak “Dari” salah ketik atau dipalsukan untuk memberikan kesan keaslian. Mereka dirancang agar tampak seperti email dari organisasi nyata yang akrab dengan target. Typosquatting membodohi penerima email agar percaya bahwa email telah dikirim dari entitas tepercaya.
“Isi dan pengirim email dibuat agar terlihat seperti dikirim dari perusahaan lain di industri terkait yang menawarkan kemitraan atau peluang bisnis,” menurut Intezer.
Upaya lain untuk tampil resmi termasuk membuat referensi ke eksekutif dan menggunakan alamat fisik, logo, dan email organisasi asli dalam teks email. Sesuai posting, ini juga berisi permintaan penawaran (RFQ), kontrak, dan rujukan/tender untuk proyek asli yang terkait dengan bisnis perusahaan yang ditargetkan.
Nama file dan ikon lampiran di sebagian besar email ini tampak seperti PDF. Pakar Intezar menyatakan tujuannya adalah untuk membuat file tampak kurang mencurigakan, menarik pengguna yang ditargetkan untuk membuka dan membacanya. Pencuri informasi dieksekusi ketika korban membuka lampiran dan mengklik file yang dikandungnya.
Intezer juga menyoroti bahwa eksekusi malware adalah fileless, artinya dimuat ke dalam memori tanpa menghasilkan file pada disk, untuk menghindari deteksi oleh antivirus standar.

Bonanza Rekayasa Sosial:
Menurut para ahli, sementara bagian teknologi dari operasi ini cukup standar, penyerang dunia maya unggul dalam hal rekayasa sosial dan menyelesaikan studi mereka pada target mereka.
Satu email, misalnya, mengaku dari Hyundai Engineering dan menyebutkan proyek pembangkit listrik siklus gabungan yang sebenarnya di Panama. Email tersebut menginstruksikan penerima untuk mengajukan tawaran untuk pasokan peralatan proyek dan menyertakan lebih banyak data dan persyaratan “dalam file terlampir” (berisi malware). Selain itu, komunikasi menentukan tenggat waktu yang tegas untuk pengajuan proposal.
Email lain yang diperiksa oleh peneliti Intezer dikirim ke karyawan GS E&C, kontraktor Korea yang terlibat dalam sejumlah proyek pembangkit listrik di seluruh dunia. Email tersebut meminta proposal teknis dan komersial untuk barang yang tercantum dalam lampiran, yang seolah-olah merupakan dokumen lepas landas material (MTO).
Peneliti menyatakan, “Isi email menunjukkan bahwa pelaku ancaman berpengalaman dalam korespondensi business-to-business (B2B). Upaya ekstra yang dilakukan oleh penyerang ini kemungkinan akan meningkatkan kredibilitas email dan memikat korban untuk membuka lampiran berbahaya.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *