Peretas Menyerang Industri Penerbangan Dengan AsyncRAT untuk Mencuri Kredensial Masuk

  • Whatsapp
Peretas Menyerang Industri Penerbangan Dengan AsyncRAT untuk Mencuri Kredensial Masuk
Peretas Menyerang Industri Penerbangan Dengan AsyncRAT untuk Mencuri Kredensial Masuk
Peretas Menyerang Industri Penerbangan Dengan AsyncRAT untuk Mencuri Kredensial Masuk

Cisco Talos telah mendeteksi dan menerbitkan serangkaian kampanye jahat baru-baru ini bersama dengan banyak peneliti keamanan lainnya yang terus-menerus menargetkan industri penerbangan.

Kampanye ini terus menargetkan sektor kedirgantaraan dan perjalanan bersama dengan email spear-phishing yang menyebarkan loader yang dieksploitasi secara aktif, dan kemudian juga mengirimkan RevengeRAT atau AsyncRAT.

Pelaku ancaman kampanye ini menggunakan email spoofing untuk mewakili diri mereka sebagai perusahaan yang sah di industri ini, dan file “.PDF” terlampir yang disisipkan dengan tautan terlampir, yang membawa VBScript berbahaya yang nantinya akan memisahkan muatan Trojan pada target mesin.

Didorong oleh Boom Broker Akses Awal

Motif utama pelaku ancaman adalah untuk mencuri kredensial dan cookie, yang dapat disumbangkan oleh penyerang kepada penjahat dunia maya yang lebih paham secara teknis.

Namun, pelaku ancaman semacam ini menggunakannya untuk akses awal dalam serangan yang jauh lebih besar yang juga melibatkan ransomware atau kompromi email bisnis (BEC).

Di sini penyerang umumnya mengumpulkan akses ke perusahaan yang rentan dan kemudian menjual semua data ke penawar tertinggi di Dark Web. Dan jenis data ini memunculkan ransomware-as-a-service.

Kampanye penerbangan

Setelah mendeteksi kampanye, analis keamanan menanggapinya dengan sangat serius setelah tweet dari Microsoft yang menjelaskan serangan baru yang mereka deteksi menggunakan AsyncRAT.

Selama Cisco Talos penyelidikan, mereka telah melihat domain Intelijen Keamanan Microsoft yang disebutkan, kimjoy[.]ddns[.]bersih.

Ada gambaran singkat yang akan membantu pengguna untuk mengetahui beberapa tautan yang terungkap antara kampanye, domain, IP, dan poin penting yang dikatakan oleh peneliti adalah bahwa aktor ancaman dari semua kampanye ini mungkin terkait dengan satu sama lain.

Domain yang digunakan

Berikut daftar domain yang disalahgunakan oleh operator kampanye malware ini:-

  • bos berikutnya[.]ddns[.]bersih
  • e29rava[.]ddns[.]bersih
  • jujur2021[.]ddns[.]bersih
  • shugardaddy[.]ddns[.]bersih
  • 8970[.]ddns[.]bersih
  • pertukaranxe2021[.]ddns[.]bersih
  • hoc2021[.]ddns[.]bersih
  • jorigt95[.]ddns[.]bersih
  • bodmas[.]linkpc[.]bersih
  • kelompok[.]kita[.]ke

Serangan Maskapai Penerbangan Tidak Mungkin Diindoktrinasi

Pendiri bersama, dan CTO BreachQuest, Jake Williams berkata:-

“Cookie dan kredensial mungkin menjadi “get” utama untuk saat ini, ada celah untuk serangan yang lebih buruk di masa mendatang dalam kampanye semacam ini.”

Namun, ada banyak negara berbeda yang menjalankan maskapai nasional dan dapat mengambil untung dari data operasi internal, itulah sebabnya mereka secara efektif belajar dari kesalahan pesaing mereka.

membuat profil

Selama pembuatan profil aktor, tiga hal utama yang harus diingat, yang telah kami sebutkan di bawah ini:-

  • Avatar dan nama samaran
  • Letak geografis
  • Profil sosial

Ada beberapa pelaku ancaman, yang mungkin memiliki beberapa informasi teknis yang terbatas tetapi mereka masih mampu mengoperasikan RAT atau pencuri informasi, berpura-pura menjadi risiko yang signifikan bagi perusahaan besar.

Jadi, operasi kecil semacam ini berhasil terbang di bawah radar, dan bahkan setelah publikasi, aktor ancaman yang berada di belakang mereka tidak akan menghentikan aktivitas mereka.

Anda dapat menemukan daftar IOC lengkap di sini.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.