APT28 Menyebar Phising Secara Global

Sofacy Group adalah kelompok spionase dunia maya yang diyakini memiliki hubungan dengan pemerintah Rusia, yang belum lama ini diketahui bahwa Sofacy Group yang dikenal juga sebagai APT28 menyebar phising secara global.

APT28 beroperasi sejak tahun 2007, kelompok ini diketahui menyasar pemerintah, militer, dan organisasi keamanan. Ini telah dikategorikan sebagai ancaman yang terus-menerus dan tingkat lanjut.

Phising Secara Global

APT28 sedang melakukan beberapa operasi phising menggunakan dokumen umpan yang meniru organisasi pemerintah dan non-pemerintah (LSM) di Eropa, Kaukasus Selatan, Asia, serta Amerika Utara dan Selatan.

Iming-iming yang terungkap mencakup campuran dokumen internal dan yang tersedia untuk umum, serta kemungkinan dokumen yang dibuat berkaitan dengan:

• Keuangan.
• Infrastruktur penting.
• Keterlibatan eksekutif.
• Keamanan siber.
• Kamanan maritim.
• Layanan kesehatan.
• Bisnis.
• Dan produksi industri pertahanan.

Para peneliti yang berhasil melacak mengetahui aktivitas tersebut dengan nama ITG05, yang juga dikenal sebagai Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (sebelumnya Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422, dan UAC-028.

Pengungkapan ini terjadi lebih dari tiga bulan setelah musuh terlihat menggunakan umpan terkait dengan perang Israel-Hamas yang sedang berlangsung untuk mengirimkan backdoor khusus yang dijuluki HeadLace.

APT28 juga menargetkan entitas pemerintah Ukraina dan organisasi Polandia dengan pesan phising yang dirancang untuk menyebarkan implan khusus dan pencuri informasi seperti MASEPIE, OCEANMAP, dan STEELHOOK.

Operasi lain melibatkan eksploitasi kelemahan keamanan di Microsoft Outlook (CVE-2023-23397, skor CVSS: 9.8) untuk menjarah hash NT LAN Manager (NTLM) v2.

Sehingga meningkatkan kemungkinan bahwa pelaku ancaman dapat memanfaatkan kelemahan lain untuk mengekstrak hash NTLMv2 untuk digunakan dalam serangan relay.

Skema Phising yang Meluas

Operasi terbaru yang diamati antara akhir November 2023 dan Februari 2024, mereka memanfaatkan pengendali protokol URI “search-ms:” di Microsoft Windows untuk mengelabui korban agar mengunduh malware yang dihosting di server WebDAV yang dikendalikan aktor.

Ada bukti yang menunjukkan bahwa server WebDAV, serta server MASEPIE C2, mungkin dihosting di router Ubiquiti yang telah disusupi, sebuah botnet yang telah dihapus oleh pemerintah AS bulan lalu.

Serangan phising meniru entitas dari beberapa negara seperti Argentina, Ukraina, Georgia, Belarus, Kazakhstan, Polandia, Armenia, Azerbaijan, dan A.S., dengan menggunakan campuran dokumen asli pemerintah dan non-pemerintah yang tersedia untuk umum untuk mengaktifkan infeksi. rantai.

Dalam pembaruan metodologi mereka, ITG05 memanfaatkan penyedia hosting yang tersedia secara gratis, firstcloudit[.]com untuk melakukan payload guna memungkinkan operasi berkelanjutan.

Klimaks dari skema rumit APT28 berakhir dengan eksekusi MASEPIE, OCEANMAP, dan STEELHOOK, yang dirancang untuk:

• Mengekstraksi file.
• Menjalankan perintah arbitrary.
• Mencuri data browser.

OCEANMAP telah dicirikan sebagai versi CredoMap yang lebih mumpuni, pintu belakang lain yang sebelumnya diidentifikasi seperti yang digunakan oleh kelompok.

ITG05 tetap mampu beradaptasi terhadap perubahan peluang dengan memberikan metodologi infeksi baru dan memanfaatkan infrastruktur yang tersedia secara komersial, sambil secara konsisten mengembangkan kemampuan malware.

Demikian pembahasan mengenai APT28 menyebar phising secara global kali ini, semoga informasi yang diberikan dapat bermanfaat dan dapat menambah wawasan.

Sumber berita:

WeLiveSecurity