Peretas Molerat Kembali Dengan Serangan Baru yang Menargetkan Pemerintah Timur Tengah

  • Whatsapp
Serangan malware Timur Tengah

Sebuah kelompok ancaman persisten lanjutan (APT) Timur Tengah telah muncul kembali setelah jeda dua bulan untuk menargetkan lembaga pemerintah di Timur Tengah dan entitas pemerintah global yang terkait dengan geopolitik di kawasan itu dalam serangkaian kampanye baru yang diamati awal bulan ini.

Firma keamanan perusahaan yang berbasis di Sunnyvale, Proofpoint, mengaitkan aktivitas tersebut dengan aktor ancaman bermotivasi politik yang dilacaknya sebagai TA402, dan dikenal oleh moniker lain seperti Molerat dan GazaHackerTeam.

Bacaan Lainnya

Pelaku ancaman diyakini aktif selama satu dekade, dengan sejarah organisasi penyerang yang berlokasi di Israel dan Palestina, dan mencakup berbagai bidang vertikal seperti teknologi, telekomunikasi, keuangan, akademisi, militer, media, dan pemerintah.

Tim Stack Overflow

Gelombang serangan terbaru dimulai dengan email spear-phishing yang ditulis dalam bahasa Arab dan berisi lampiran PDF yang disematkan dengan URL geofenced berbahaya untuk secara selektif mengarahkan korban ke arsip yang dilindungi kata sandi hanya jika alamat IP sumber milik negara yang ditargetkan di Tengah. Timur.

Penerima yang berada di luar kelompok sasaran dialihkan ke situs web umpan yang ramah, biasanya situs berita berbahasa Arab seperti Al Akhbar (www.al-akhbar.com) dan Al Jazeera (www.aljazeera.net).

Serangan malware Timur Tengah

“Perlindungan kata sandi dari arsip berbahaya dan metode pengiriman geofenced adalah dua mekanisme anti-deteksi mudah yang dapat digunakan pelaku ancaman untuk melewati produk analisis otomatis,” para peneliti berkata.

Langkah terakhir dalam rantai infeksi melibatkan penggalian arsip untuk menjatuhkan implan khusus yang disebut LastConn, yang menurut Proofpoint adalah versi pintu belakang yang ditingkatkan atau baru yang disebut SharpStage yang diungkapkan oleh peneliti Cybereason pada Desember 2020 sebagai bagian dari Kampanye spionase Molerat menargetkan Timur Tengah.

Mencegah Pelanggaran Data

Selain menampilkan dokumen umpan ketika LastConn dijalankan untuk pertama kalinya, malware sangat bergantung pada Dropbox API untuk mengunduh dan mengeksekusi file yang dihosting di layanan cloud, selain menjalankan perintah sewenang-wenang dan menangkap tangkapan layar, yang hasilnya kemudian dieksfiltrasi kembali ke Dropbox.

Jika ada, perangkat TA402 yang terus berkembang menggarisbawahi fokus grup yang berkelanjutan pada pengembangan dan modifikasi implan malware yang disesuaikan dalam upaya untuk menyelinap melewati pertahanan dan menggagalkan deteksi.

“TA402 adalah aktor ancaman yang sangat efektif dan mampu yang tetap menjadi ancaman serius, terutama bagi entitas yang beroperasi dan bekerja dengan pemerintah atau entitas geopolitik lainnya di Timur Tengah,” para peneliti menyimpulkan. “Kemungkinan TA402 melanjutkan penargetannya yang sebagian besar difokuskan di kawasan Timur Tengah.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *