Peretas FIN8 APT Terlihat Menyerang Lembaga Keuangan Dengan Pintu Belakang

  • Whatsapp
Peretas FIN8 APT Terlihat Menyerang Lembaga Keuangan Dengan Pintu Belakang
Peretas FIN APT Terlihat Menyerang Lembaga Keuangan Dengan Pintu Belakang
Peretas FIN8 APT Menyerang Lembaga Keuangan Menggunakan Pintu Belakang Canggih

Analis keamanan dari perusahaan keamanan siber Bitdefender baru-baru ini dicatat malware BADHATCH backdoor baru yang digunakan oleh aktor ancaman yang sangat terkenal, FIN8.

Namun, ini bukan pertama kalinya FIN8 memulai serangan, sesuai laporan pelaku ancaman APT ini menargetkan korban sejak 2016.

Nah, grup APT ini terkenal dengan istirahat panjang untuk menyesuaikan metode, dan prosedur (TTP) mereka karena membantu mereka meningkatkan tingkat keberhasilan mereka.

Metode FIN8 yang Sudah Dicoba dan Benar

Grup APT FIN8 selalu menargetkan layanan keuangan, serta sistem POS, yang merupakan target utama grup ini. Selain itu, FIN8 umumnya menggunakan alat dan antarmuka bawaan, sehingga mereka dapat dengan mudah menyalahgunakan layanan hukum seperti sslip.io.

FIN8 sangat terkenal dengan kemampuannya yang ditentukan, ia memiliki campuran kemampuan seperti itu dan itulah yang menjadikannya grup APT yang kuat dan berbahaya.

Semua operasi yang dilakukan oleh pelaku ancaman kelompok FIN8 sangat profesional, sehingga para ahli mengklaim bahwa terkadang cukup sulit untuk mengidentifikasi ancaman tersebut.

Analisis Serangan

Para peneliti keamanan belum mengetahui semua detail dari malware ini, tetapi mereka mencoba untuk memikirkan kesimpulan berdasarkan serangan sebelumnya yang diprakarsai oleh grup FIN8.

Namun, setelah melalui banyak pemeriksaan, cukup jelas bahwa kelompok FIN8 APT sebagian besar lebih memilih metode yang umumnya digunakan oleh para insinyur.

Pengintaian Jaringan dan Gerakan Lateral

Setelah penyelidikan panjang, menjadi jelas bahwa dalam serangan ini setidaknya dua akun pengguna dinegosiasikan oleh aktor ancaman. Namun, para analis telah mencatat indikasi pertama dari kompromi yang tertangkap di salah satu server database.

Tidak hanya itu selama serangan, pelaku ancaman juga terlibat dalam pengintaian jaringan dan mendapatkan kembali daftar domain yang diberikan serta daftar pengontrol domain yang memiliki perintah yang telah kami sebutkan di bawah ini:-

  • nltest.exe /domain_trusts
  • nltest.exe /dclist:

Setelah pengintaian awal dilakukan, pelaku ancaman tersebar di seluruh jaringan dan mulai mengembangkan ruang mereka dengan menargetkan pengontrol domain. Namun, pelaku ancaman juga terlibat dalam gerakan lateral dengan memanfaatkan utilitas WMIC untuk eksekusi kode jarak jauh.

Rekomendasi

Selain itu, otoritas keamanan siber telah menyarankan beberapa rekomendasi yang harus diikuti dengan hati-hati, karena mereka pasti akan mengurangi dampak malware keuangan:-

  • Pertama, pisahkan jaringan POS dari yang digunakan oleh karyawan atau tamu
  • Setelah itu mulailah pelatihan kesadaran keamanan siber untuk karyawan, karena akan membantu mereka mendeteksi email phishing.
  • Selanjutnya sesuaikan solusi keamanan email untuk secara otomatis membuang lampiran berbahaya atau tidak biasa.
  • Gabungkan intelijen ancaman ke dalam SIEM atau kontrol keamanan saat ini untuk Indikator Perjanjian yang tepat.
  • Terakhir, organisasi yang tidak memiliki tim keamanan yang kuat harus menggunakan keamanan outsourcing

Selain itu, organisasi harus mengikuti semua rekomendasi yang disarankan oleh eksekutif keamanan untuk tetap kuat dan menjaga diri mereka aman dari serangan tersebut.

Ikuti kami di Linkedin, Indonesia, Facebook untuk Berita & Pembaruan Cybersecurity harian

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.