Kelompok peretas Rusia di balik serangan rantai pasokan yang meracuni pembaruan perangkat lunak untuk platform SolarWinds Orion telah menyempurnakan serangan berbasis email selama beberapa bulan terakhir untuk menanam backdoor di dalam berbagai perusahaan.
Upaya ini baru-baru ini meningkat dengan serangan yang diluncurkan dari akun pemasaran email yang dibajak milik USAID dan menargetkan sekitar 3.000 orang di lebih dari 150 perusahaan di 24 negara.
Kelompok peretas, yang dikenal di industri keamanan sebagai APT29, Cozy Bear, The Dukes dan Nobelium, dikaitkan dengan Badan Intelijen Asing Rusia (SVR) oleh pemerintah AS dan Inggris. Mereka memiliki sejarah panjang penargetan organisasi pemerintah atau terikat pemerintah.
Mereka menggunakan eksploitasi zero-day untuk mendapatkan akses awal. Dalam kampanye email terbaru, sekitar seperempat dari target Nobelium adalah perusahaan yang terlibat dalam pembangunan internasional, kemanusiaan, dan hak asasi manusia.
Ubah pendekatan serangan
Pada bulan Januari, setelah kompromi SolarWinds ditemukan dan organisasi diberi tahu cara mendeteksi dan melindungi diri mereka sendiri dari backdoor Nobelium, grup tersebut mengubah pendekatannya ke serangan berbasis email.
Menggunakan fitur-fitur pengembangan aplikasi seluler dan web platform Firebase Google untuk meng-host image disk ISO berbahaya dan kemudian membuat email yang akan melacak informasi tentang komputer pengguna yang mengklik URL.
Berikutnya, grup beralih menggunakan lampiran HTML alih-alih URL yang ketika dibuka akan menulis file ISO ke disk dan mendorong pengguna untuk membukanya. File ISO dipasang sebagai drive eksternal di pengelola file Windows dan isinya dapat diakses.
Kampanye spam email berlanjut sepanjang Februari, Maret dan April dengan berbagai modifikasi pada pengiriman muatan dan teknik pengintaian. Ketimbang menggunakan Firebase untuk mengumpulkan informasi tentang sistem yang ditargetkan, grup tersebut pindah ke layanan yang berbeda dan menyematkan fungsionalitas secara langsung di lampiran email HTML.
Dalam gelombang lain, ia menambahkan implan yang dijuluki BoomBox yang menggunakan Dropbox untuk menampung informasi yang dikumpulkan tentang sistem korban atau untuk mengunduh file tambahan.
Pada tanggal 15 Mei, grup tersebut meluncurkan kampanye email terbesarnya, menargetkan 3.000 akun individu dengan membuat email yang tampak berasal dari USAID dan menggunakan dokumen penipuan pemilu sebagai umpan. Email dikirim melalui Kontak Konstan, layanan pemasaran email yang sah, setelah peretas mendapatkan akses ke akun USAID di platform.
Email jahat memiliki header yang sah dan alamat pengiriman serta berisi tautan yang menunjuk ke infrastruktur Kontak Konstan. Dari sana pengguna diarahkan ke server dan domain yang dikendalikan oleh Nobelium yang menyajikan ISO kepada pengguna. Seperti pada kampanye sebelumnya, ISO berisi file LNK, dokumen PDF umpan, dan Cobalt Strike kustom.
Eksploitasi layanan pihak ketiga
Apa yang membuat kampanye email Nobelium terbaru ini berbahaya adalah bahwa itu diluncurkan dari akun sah yang disusupi di layanan pihak ketiga. Mirip dengan serangan rantai pasokan SolarWinds, ini menyalahgunakan hubungan kepercayaan yang ada antara korban dan perusahaan, dimana serangan Business Email Compromise (BEC) di mana menipu karyawan untuk melakukan pembayaran palsu sebagai eksekutif perusahaan juga menggunakan akun email yang diretas.
Ini juga bukan pertama kalinya Nobelium menyalahgunakan layanan online atau menargetkan perusahaan IT untuk menggunakannya sebagai landasan peluncuran serangannya. Kelompok ini juga membutuhkan banyak waktu dan tenaga dalam pengawasan dan pengumpulan informasi tentang para korban.
Bisa disimpulkan bahwa ketika digabungkan dengan serangan terhadap SolarWinds, jelas bahwa bagian dari pedoman Nobelium adalah untuk mendapatkan akses ke penyedia teknologi tepercaya dan menginfeksi pelanggan mereka. Dengan membonceng pembaruan perangkat lunak dan sekarang penyedia email massal, Nobelium meningkatkan kemungkinan kerusakan tambahan dalam operasi spionase dan merusak kepercayaan pada ekosistem teknologi.
