Geng Penjahat yang Disponsori Negara Targetkan India dengan Phishing Pajak dan Covid-19

Geng Penjahat yang Disponsori Negara Targetkan India dengan Phishing Pajak dan Covid-19

Internet Sehat : Blackberry’s Research and Intelligence Team telah menemukan tiga skema phishing yang menargetkan warga negara India an mengatakan geng malware yang disponsori negara China adalah pelakunya.

Blackberry mengidentifikasi pihak yang bertanggung jawab sebagai APT41, sebuah kelompok ancaman siber yang disponsori negara China yang telah melakukan aktivitas spionase secara paralel dengan operasi bermotivasi finansial setidaknya sejak 2012. Kelompok ini menargetkan banyak industri, termasuk perjalanan, telekomunikasi, perawatan kesehatan, berita, dan pendidikan.

Blackberry mengatakan bahwa mereka telah menautkan titik-titik antara phishing di India dan APT41 dengan memantau aktivitas yang didokumentasikan sebelumnya terkait dengan malware komersial yang disebut Cobalt Strike. Tindakan yang terlihat oleh Blackberry menggunakan profil command-and-control (C2) yang dapat ditempa menunjukkan kesamaan dengan serangan lainnya.

Para peneliti menemukan alasan yang cukup untuk mengaitkan kampanye sebelumnya dan kampanye baru dengan mengidentifikasi blok profil HTTP GET yang hampir identik dan memetakan kesamaan dalam data konfigurasi Beacon. Beberapa cluster dengan metadata konfigurasi unik menunjukkan asosiasi dengan APT41.

Melalui taktik investigasi mereka, Blackberry menemukan tiga umpan phishing yang menargetkan warga negara India, yang menyamar sebagai komunikasi pemerintah tentang pajak atau COVID-19.

Umpan phishing, taktik APT41 favorit yang biasanya digunakan bersama dengan pencuri informasi, keylogger, dan backdoor memuat dan mengeksekusi Cobalt Strike Beacons ke jaringan target. Seketika berada di mesin pengguna, ancaman itu berbaur, menggunakan profil yang disesuaikan untuk melindungi lalu lintas jaringannya.

Tiga umpan phishing datang dalam bentuk PDF untuk mengalihkan perhatian pengguna saat aktivitas gelap berlangsung di latar belakang. Satu skema menggunakan skrip PowerShell yang disematkan, satu arsip self-extracting, dan satu lagi file zip.

Temuan ini menunjukkan bahwa grup APT41 masih secara teratur melakukan kampanye baru, dan kemungkinan besar mereka akan terus melakukannya di masa depan.

Sumber : The Register

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.