Trik Phishing NewsPenguin
Ancaman baru yang dijuluki NewsPenguin serbu pemerintah dengan melakukan operasi spionase terhadap kompleks industri selama berbulan-bulan, menggunakan malware canggih.
Para peneliti mengungkapkan bagaimana grup ini dengan hati-hati merencanakan operasi phising yang menargetkan pengunjung Pameran & Konferensi Maritim Internasional.
Peserta konferensi antara lain negara-negara, militer, dan pabrikan militer. Fakta itu, dikombinasikan dengan penggunaan umpan phising yang disiapkan lebih dahulu oleh NewPenguin dan detail kontekstual serangan lainnya, membuat para peneliti menyimpulkan bahwa pelaku secara aktif menargetkan organisasi pemerintah.
|
Baca juga: Trik Penipuan Piala Dunia |
Trik Phising NewsPenguin
NewsPenguin serbu pemerintah dengan menarik korbannya menggunakan email spear phising dengan lampiran dokumen Word, yang diklaim sebagai “Manual Peserta” untuk konferensi PIMEC.
Meskipun nama filenya agak mencurigakan “Important Document.doc” isinya tampaknya diambil langsung dari materi acara yang sebenarnya, menampilkan stempel pemerintah dan estetika yang sama dengan media lain yang diterbitkan oleh penyelenggara.
Dokumen pertama kali dibuka dalam tampilan terproteksi. Korban kemudian harus mengklik “enable content” untuk membaca dokumen, yang memicu serangan injeksi template jarak jauh.
Serangan injeksi template jarak jauh secara cerdik menghindari deteksi yang mudah dengan menanam malware tidak di dalam dokumen tetapi di template yang terkait.
Ini adalah “teknik khusus yang memungkinkan serangan berada di bawah radar, terutama untuk gerbang email dan produk seperti deteksi endpoint dan respons (EDR).
Itu karena makro jahat tidak ada di file itu sendiri tetapi di server jarak jauh. Dengan kata lain, di luar infrastruktur korban. Dengan begitu, produk tradisional yang dibuat untuk melindungi titik akhir dan sistem internal tidak akan efektif.”
|
Baca juga: Menghadapi trik Scammer |
Teknik Penghindaran NewsPenguin
Muatan di akhir alur serangan dapat dieksekusi tanpa nama pembeda, yang dirujuk dalam entri blog sebagai “updates.exe”.
Alat spionase yang belum pernah dilihat sebelumnya ini mungkin paling terkenal karena seberapa jauh ia menolak deteksi dan analisis.
Misalnya, untuk menghindari kecurigaan di lingkungan jaringan target, malware beroperasi sangat lambat, membutuhkan waktu lima menit di antara setiap perintah.
Penundaan itu dimaksudkan agar tidak menyebabkan terlalu banyak aktivitas jaringan. Serangan ini dibuat sesenyap mungkin, untuk meminimalisasi jejak agar tidak mudah dideteksi oleh sistem deteksi.
Malware NewsPenguin juga melakukan serangkaian tindakan untuk memeriksa apakah itu diterapkan di mesin virtual atau sandbox.
Profesional cybersecurity suka menjebak dan menganalisis malware di lingkungan ini, yang mengisolasi setiap dampak berbahaya dari komputer atau jaringan lainnya.
Peretas, pada gilirannya, tahu untuk menghindari lingkungan yang terisolasi ini jika mereka tidak ingin ketahuan.
Para peneliti menghitung beberapa metode penghindaran yang berbeda di updates.exe, yang termasuk menggunakan GetTickCount.
Yakni fungsi Windows yang melaporkan sudah berapa lama sejak sistem dinyalakan, untuk mengidentifikasi sandbox yang melewati fungsi sleep, memeriksa ukuran hard drive, dan membutuhkan lebih dari 10GB RAM.
|
Baca juga: Bermacam Trik Penipuan Kode QR |
Motif NewsPenguin
Para peneliti tidak dapat menghubungkan NewsPenguin dengan pelaku ancaman yang dikenal. Konon, grup tersebut telah bekerja selama beberapa waktu sebelumnya.
Domain yang terkait dengan operasi mereka telah didaftarkan pada bulan Juni dan Oktober tahun lalu, meskipun konferensi hanya berlangsung akhir pekan ini.
Pelaku telah merencanakan operasi dengan matang, dengan melakukan reservasi domain dan IP berbulan-bulan sebelum digunakan
Pelaku mendekati peserta pameran, mengobrol dan bertukar informasi kontak, yang didaftarkan oleh personel stan sebagai petunjuk menggunakan formulir sederhana seperti spreadsheet.
Ini menunjukkan bahwa NewsPenguin telah melakukan beberapa perencanaan sebelumnya dan pada saat yang sama, NewsPenguin telah terus meningkatkan alatnya untuk menyusup ke sistem korban.
Malware NewsPenguin dibangun untuk mencuri informasi, apalagi konferensi ini berkaitan dengan teknologi militer dan kelautan.
|
Baca juga: |
Sumber berita:
