Peretas Rusia Banyak Menggunakan Sistem Arah Lalu Lintas Berbahaya untuk Mendistribusikan Malware

  • Whatsapp
Traffic Direction System
Peretas Rusia Banyak Menggunakan Sistem Arah Lalu Lintas Berbahaya untuk

News.nextcloud.asia –

Sistem Arah Lalu Lintas

Hubungan potensial antara solusi crimeware-as-a-service (Caas) berbasis langganan dan salinan Cobalt Strike telah dibuat dalam apa yang para peneliti duga ditawarkan sebagai alat bagi pelanggannya untuk melakukan aktivitas pasca-eksploitasi.

Prometheus, demikian layanan ini disebut, pertama kali terungkap pada Agustus 2021 ketika perusahaan keamanan siber Group-IB mengungkapkan rincian kampanye distribusi perangkat lunak berbahaya yang dilakukan oleh kelompok penjahat siber untuk mendistribusikan Campo Loader, Hancitor, IcedID, QBot, Buer Loader, dan SocGholish di Belgia dan AS

Dengan biaya $250 per bulan, itu dipasarkan di forum bawah tanah Rusia sebagai sistem arah lalu lintas (TDS) untuk memungkinkan pengalihan phishing dalam skala massal ke halaman arahan nakal yang dirancang untuk menyebarkan muatan malware pada sistem yang ditargetkan.

Pencadangan GitHub Otomatis

“Prometheus dapat dianggap sebagai layanan/platform lengkap yang memungkinkan kelompok ancaman untuk mengirimkan malware atau operasi phishing mereka dengan mudah,” Tim Riset dan Intelijen BlackBerry dikatakan dalam laporan yang dibagikan kepada The Hacker News. “Komponen utama Prometheus termasuk jaringan infrastruktur berbahaya, distribusi email berbahaya, hosting file ilegal melalui layanan yang sah, pengalihan lalu lintas, dan kemampuan untuk mengirimkan file berbahaya.”

Biasanya, pengalihan disalurkan dari salah satu dari dua sumber utama, yaitu dengan bantuan iklan berbahaya (alias malvertising) di situs web yang sah, atau melalui situs web yang telah dirusak untuk memasukkan kode berbahaya.

Dalam kasus Prometheus, rantai serangan dimulai dengan email spam yang berisi file HTML atau halaman Google Documents yang, setelah berinteraksi, mengarahkan korban ke situs web yang disusupi yang menghosting backdoor PHP yang sidik jari mesin untuk menentukan apakah “untuk melayani korban dengan malware atau mengarahkan mereka ke halaman lain yang mungkin berisi penipuan phishing.”

Sistem Arah Lalu Lintas

Aktivitas paling awal yang terhubung ke operator layanan, yang menggunakan nama “Ma1n” di forum peretasan, dikatakan telah dimulai pada Oktober 2018, dengan pembuatnya terkait dengan alat terlarang lainnya yang menawarkan pengalihan berkualitas tinggi dan kit PowerMTA untuk dikirimkan ke perusahaan kotak surat, sebelum memasang Prometheus TDS untuk dijual pada 22 September 2020.

Itu tidak semua. BlackBerry juga menemukan tumpang tindih antara aktivitas terkait Prometheus dan versi tidak sah dari simulasi musuh Cobalt Strike dan perangkat lunak emulasi ancaman, meningkatkan kemungkinan bahwa salinan tersebut “dikembangbiakkan oleh operator Prometheus sendiri.”

Sistem Arah Lalu Lintas

“Ada kemungkinan bahwa seseorang yang terhubung dengan Prometheus TDS menyimpan salinan yang diretas ini dan menyediakannya saat pembelian,” kata para peneliti. “Mungkin juga instalasi yang retak ini disediakan sebagai bagian dari pedoman standar atau instalasi mesin virtual (VM).”

Hal ini dibuktikan dengan fakta bahwa sejumlah aktor ancaman, termasuk DarkCrystal RAT, FickerStealer, FIN7, Qakbot, dan IceID, serta kartel ransomware seperti REvil, Ryuk (Wizard Spider), BlackMatter, dan Cerber, telah menggunakan crack salinan yang bersangkutan selama dua tahun terakhir.

Mencegah Pelanggaran Data

Selain itu, Cobalt Strike Beacon yang sama juga telah diamati dalam hubungannya dengan aktivitas yang terkait dengan broker akses awal yang dilacak sebagai Zebra2104, yang layanannya telah digunakan oleh grup seperti StrongPity, MountLocker, dan Phobos untuk kampanye mereka sendiri.

“Meskipun TDS bukanlah konsep baru, tingkat kerumitan, dukungan, dan biaya keuangan yang rendah menambah kepercayaan pada teori bahwa ini adalah tren yang kemungkinan akan meningkat dalam lanskap ancaman dalam waktu dekat,” catat para peneliti.

“Volume grup yang menggunakan penawaran seperti Prometheus TDS, menunjukkan keberhasilan dan kemanjuran infrastruktur ilegal ini untuk layanan sewa, yang pada dasarnya adalah perusahaan penuh yang mendukung aktivitas jahat grup terlepas dari ukuran, tingkat sumber daya atau motif.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.