Peretas SolarWinds Menargetkan Think Tank Dengan Backdoor Baru

  • Whatsapp
Peretas SolarWinds

Microsoft pada hari Kamis mengungkapkan bahwa aktor ancaman di balik peretasan rantai pasokan SolarWinds kembali ke lanskap ancaman untuk menargetkan lembaga pemerintah, think tank, konsultan, dan organisasi non-pemerintah yang berlokasi di 24 negara, termasuk AS.

“Gelombang serangan ini menargetkan sekitar 3.000 akun email di lebih dari 150 organisasi yang berbeda,” Tom Burt, Wakil Presiden Perusahaan Microsoft untuk Keamanan dan Kepercayaan Pelanggan, berkata. “Setidaknya seperempat dari organisasi yang ditargetkan terlibat dalam pembangunan internasional, kemanusiaan, dan pekerjaan hak asasi manusia.”

Bacaan Lainnya

Microsoft mengaitkan penyusupan dengan aktor ancaman Rusia yang dilacaknya sebagai Nobelium, dan oleh komunitas keamanan siber yang lebih luas di bawah moniker APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), dan Dark Halo (Volexity).

auditor kata sandi

Terbaru gelombang dalam serangkaian intrusi dikatakan telah dimulai pada Januari 2021, sebelum mencapai tingkat eskalasi baru pada 25 Mei. Serangan itu memanfaatkan layanan surat massal yang sah yang disebut Kontak Konstan untuk menyembunyikan aktivitas jahatnya dan menyamar sebagai USAID, sebuah AS- organisasi pengembangan berbasis, untuk kampanye phishing skala luas yang mendistribusikan email phishing ke berbagai organisasi dan vertikal industri.

Retas rantai pasokan SolarWinds

Email yang tampaknya autentik ini menyertakan tautan yang, ketika diklik, mengirimkan file gambar cakram optik berbahaya (“ICA-declass.iso”) untuk menyuntikkan implan Cobalt Strike Beacon khusus yang dijuluki NativeZone (“Documents.dll”) yang dilengkapi dengan kemampuan untuk mempertahankan akses persisten, melakukan gerakan lateral, mengekstrak data, dan menginstal malware tambahan.

Dalam variasi lain dari serangan yang ditargetkan, Nobelium bereksperimen dengan membuat profil mesin target setelah penerima email mengklik tautan. Jika sistem operasi yang mendasarinya ternyata adalah iOS, korban dialihkan ke server jarak jauh kedua untuk mengirimkan eksploitasi untuk CVE-2021-1879 saat itu. Apple mengatasi kekurangan tersebut pada 26 Maret, mengakui bahwa “masalah ini mungkin telah dieksploitasi secara aktif.”

Retas rantai pasokan SolarWinds

Perusahaan keamanan siber Volexity, yang dikuatkan temuan tersebut, kata kampanye tersebut memilih organisasi non-pemerintah (LSM), lembaga penelitian, entitas pemerintah, dan lembaga internasional yang berlokasi di AS dan Eropa.

Serangan terbaru menambah bukti pola berulang aktor ancaman menggunakan infrastruktur dan alat unik untuk setiap target, sehingga memberikan penyerang tingkat siluman yang tinggi dan tetap tidak terdeteksi untuk waktu yang lama.

Sifat perdagangan Nobelium yang terus berkembang kemungkinan juga merupakan respons langsung terhadap insiden SolarWinds yang dipublikasikan, menunjukkan bahwa penyerang dapat terus bereksperimen dengan metode mereka untuk memenuhi tujuan mereka.

“Ketika digabungkan dengan serangan terhadap SolarWinds, jelas bahwa bagian dari pedoman Nobelium adalah untuk mendapatkan akses ke penyedia teknologi tepercaya dan menginfeksi pelanggan mereka,” kata Burt. “Dengan membonceng pembaruan perangkat lunak dan sekarang penyedia email massal, Nobelium meningkatkan kemungkinan kerusakan tambahan dalam operasi spionase dan merusak kepercayaan pada ekosistem teknologi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *