Liputan6.com, Jakarta - Hacker yang didukung negara Iran, diduga sebagai kelompok APT42, menggunakan serangan rekayasa sosial, termasuk menyamar sebagai jurnalis.
Tujuannya untuk menembus jaringan perusahaan dan lingkungan cloud yang menjadi target di negara-negara Barat dan Timur Tengah.
Baca Juga
APT42 pertama kali didokumentasikan oleh perusahaan keamanan siber Mandiant pada September 2022, yang melaporkan bahwa pelaku ancaman itu aktif sejak 2015--melakukan setidaknya 30 operasi di 14 negara.
Advertisement
Kelompok hacker atau spionase yang diyakini berafiliasi dengan Organisasi Intelijen Korps Garda Revolusi Islam (IRGC-IO) Iran tersebut diketahui menargetkan organisasi non-pemerintah, media, lembaga pendidikan, aktivis, dan layanan hukum.
Mengutip BleepingComputer, Selasa (7/5/2024), analis keamanan Google yang meneliti operasi APT42 melaporkan bahwa peretas menggunakan email berbahaya berisi malware untuk menginfeksi target mereka dengan dua backdoor khusus, yaitu "Nicecurl" dan "Tamecat".
Serangan APT42 mengandalkan rekayasa sosial dan spear-phishing, dengan tujuan akhir menginfeksi perangkat target dengan backdoor khusus, sehingga memungkinkan pelaku serangan siber mendapatkan akses awal ke jaringan organisasi.
Serangan dimulai dengan email dari orang-orang yang menyamar sebagai jurnalis, perwakilan LSM, atau penyelenggara acara yang dikirim dari domain yang "typosquat" (menggunakan URL serupa) dengan domain organisasi resmi.
Daftar Organisasi Media yang Ditiru Hacker
Organisasi media yang ditiru oleh APT42 termasuk Washington Post (AS), The Economist (Inggris), The Jerusalem Post (IL), Khaleej Times (UEA), dan Azadliq (Azerbaijan).
Mandiant menyatakan bahwa serangan tersebut sering menggunakan domain yang salah ketik seperti "washinqtonpost[.]press".
Setelah penyerang bertukar komunikasi yang cukup untuk membangun kepercayaan dengan korban, mereka mengirimkan tautan ke dokumen terkait konferensi atau artikel berita, bergantung pada topik yang dipilih.
Mengklik tautan tersebut mengarahkan target ke halaman login palsu yang meniru layanan terkenal seperti Google dan Microsoft atau bahkan platform khusus yang berkaitan dengan bidang kerja korban.
Situs phishing ini tidak hanya mengambil kredensial akun korban tetapi juga token otentikasi multi-faktor (multi-factor authentication/MFA).
Advertisement
Menyusup Jaringan
Setelah mencuri semua data yang diperlukan untuk membajak akun korban, para peretas menyusup ke jaringan perusahaan atau lingkungan cloud dan mengumpulkan informasi sensitif seperti email dan dokumen.
Google melaporkan untuk menghindari deteksi dan menyatu dengan jaringan, APT42 membatasi tindakannya pada fitur bawaan alat cloud yang dapat diaksesnya, menghapus riwayat Google Chrome setelah meninjau dokumen, dan menggunakan alamat email yang tampaknya milik organisasi korban untuk mengekstrak file ke akun OneDrive.
Selain itu, APT42 menggunakan node ExpressVPN, domain yang dihosting Cloudflare, dan server VPS sementara selama berinteraksi dengan jaringan korban, sehingga mempersulit atribusi.
2 Backdoor Khusus
APT42 menggunakan dua backdoor khusus bernama Nicecurl dan Tamecat, masing-masing dirancang untuk fungsi spesifik dalam operasi spionase dunia maya.
Nicecurl adalah backdoor berbasis VBScript yang mampu melakukan eksekusi perintah, mengunduh dan mengeksekusi muatan tambahan, atau melakukan penambangan data pada host yang terinfeksi.
Sementara Tamecat merupakan backdoor PowerShell yang lebih kompleks, di mana dapat mengeksekusi kode PS atau skrip C# sewenang-wenang, memberikan banyak fleksibilitas operasional pada APT42 untuk melakukan pencurian data dan manipulasi sistem yang ekstensif.
Advertisement