Dunia belakangan disibukkan dengan kemunculan ancaman spionase siber, kelompok-kelompok siber yang disponsori oleh negara sering menjadi aktor di balik layar kejahatan semacam ini. Meski tidak lepas dari kemungkinan bahwa bisa saja ada kelompok independen ikut serta bermain, tapi terlepas dari itu semua, ancaman spionase dunia maya tidak bisa dianggap main-main.
Seperti dalam kasus spionase terbaru hasil investigasi ESET baru-baru ini, sebuah kelompok spionase siber baru yang mengincar hotel, swasta dan pemerintah di seluruh dunia berhasil diketahui aktivitasnya, grup ini bernama FamaousSparrow.
ESET yakin grup ini telah aktif setidaknya sejak 2019. Meninjau data telemetri selama penyelidikan, ESET mengetahui bahwa FamousSparrow memanfaatkan kerentanan Microsoft Exchange yang dikenal sebagai ProxyLogon.
Sebagai pengingat, kerentanan eksekusi kode jarak jauh ini digunakan oleh lebih dari 10 grup APT untuk mengambil alih server email Exchange di seluruh dunia. Menurut telemetri ESET, FamousSparrow mulai mengeksploitasi kerentanan pada 3 Maret 2021, sehari setelah rilis tambalan, jadi ini adalah grup APT lain yang memiliki akses ke kerentanan eksekusi kode jarak jauh ProxyLogon pada Maret 2021.
SparrowDoor
FamousSparrow adalah grup yang ESET lihat sebagai satu-satunya pengguna backdoor khusus saat ini, yang bernama SparrowDoor. Backdoor ini juga menggunakan dua versi kustom Mimikatz yang dapat digunakan untuk menghubungkan insiden yang terjadi ke grup ini.
Meskipun ESET menganggap FamousSparrow sebagai entitas yang terpisah, tapi ditemukan koneksi ke grup APT lain yang diketahui. Dalam satu kasus, pelaku menyebarkan varian Motnug yang merupakan loader yang digunakan oleh SparklingGoblin.
Dalam kasus lain, pada mesin yang disusupi oleh FamousSparrow, ditemukan Metasploit yang sedang berjalan dengan cdn.kkxx888666[.]com sebagai server C&C-nya. Domain ini terkait dengan grup yang dikenal sebagai DRBControl.
Grup ini telah aktif setidaknya sejak Agustus 2019 dan terutama menargetkan hotel di seluruh dunia. Selain itu, ESET juga melihat beberapa target di sektor lain seperti pemerintah, organisasi internasional, perusahaan teknik, dan firma hukum di negara-negara Asia, Amerika Latin, Afrika dan Eropa.
Vektor kompromi
Dalam beberapa kasus, diketahui bahwa vektor kompromi awal yang digunakan oleh FamousSparrow dan sistem ini disusupi melalui aplikasi web yang rentan terhadap internet.
ESET yakin FamousSparrow mengeksploitasi kerentanan eksekusi kode jarak jauh yang diketahui di Microsoft Exchange (termasuk ProxyLogon pada Maret 2021), Microsoft SharePoint, dan Oracle Opera (perangkat lunak bisnis untuk manajemen hotel), yang digunakan untuk menyisipkan berbagai sampel berbahaya.
Setelah target berhasil disusupi, FamousSparrow menginfeksi korban dengan berbagai alat khusus, yang di antaranya adalah:
-
- Varian Mimikatz untuk gerakan lateral
-
- Utilitas kecil yang menyusupkan ProcDump pada disk dan menggunakannya untuk membuang proses lsass, mungkin untuk mengumpulkan rahasia dalam memori, seperti kredensial
-
- Nbtscan, pemindai NetBIOS untuk mengidentifikasi file dan printer di seluruh LAN
-
- Loader untuk backdoor SparrowDoor
Berdasar penelitian ESET, diketahui bahwa backdoor memliki fungsionalitas seperti kemampuan untuk, mengganti nama atau menghapus file, membuat direktori, mematikan proses, mengirim informasi seperti atribut file, ukuran file, dan waktu penulisan file, mengekstrak isi file tertentu, menulis data ke file tertentu, atau buat cangkang terbalik interaktif. Ada juga tombol pemutus untuk menghapus pengaturan persistensi dan semua file SparrowDoor dari mesin korban.
Sumber berita:
https://www.welivesecurity.com
