Internet Sehat : Para peneliti telah melihat kampanye peretasan spionase baru yang menargetkan penyedia layanan telekomunikasi dan teknologi informasi di Timur Tengah dan Asia.

Kampanye telah dilakukan selama enam bulan terakhir dan ada hubungan tentatif dengan aktor yang didukung Iran, MERCURY (alias MuddyWater, SeedWorm, atau TEMP.Zagros).

Laporan tersebut berasal dari Threat Hunter Team di Symantec yang telah mengumpulkan bukti dan sampel perangkat dari serangan baru-baru ini di Israel, Yordania, Kuwait, Arab Saudi, Uni Emirat Arab, Pakistan, Thailand, dan Laos.

Penyerang tampaknya paling tertarik pada Server Exchange yang rentan, yang mereka gunakan untuk penyebaran shell web.

Setelah pelanggaran awal, mereka mencuri kredensial akun dan bergerak secara lateral di jaringan perusahaan. Dalam beberapa kasus, mereka menggunakan pijakan mereka untuk menargetkan organisasi lain yang terhubung.

Meskipun vektor infeksi tidak diketahui, Symantec dapat menemukan kasus file ZIP bernama Special discount program.zip yang berisi penginstal untuk aplikasi perangkat lunak desktop jarak jauh. Dengan demikian, pelaku ancaman mungkin mendistribusikan email spear-phishing ke target tertentu.

Tanda pertama kompromi oleh aktor ancaman biasanya adalah pembuatan layanan Windows untuk meluncurkan Windows Script File (WSF) yang melakukan pengintaian di jaringan.

Selanjutnya, PowerShell digunakan untuk mengunduh lebih banyak WSF dan Certutil digunakan untuk mengunduh alat penerowongan dan menjalankan kueri WMI.

Meskipun atribusinya tidak pasti, Symantec mencatat dua alamat IP yang tumpang tindih dengan infrastruktur yang digunakan dalam serangan MuddyWater yang lebih lama. Selain itu, perangkat ini memiliki beberapa kesamaan dengan serangan Maret 2021 yang dilaporkan oleh peneliti Trend Micro.

Sumber : Bleeping Computer