Internet Sehat : Blackberry’s Research and Intelligence Team telah menemukan tiga skema phishing yang menargetkan warga negara India an mengatakan geng malware yang disponsori negara China adalah pelakunya.

Blackberry mengidentifikasi pihak yang bertanggung jawab sebagai APT41, sebuah kelompok ancaman siber yang disponsori negara China yang telah melakukan aktivitas spionase secara paralel dengan operasi bermotivasi finansial setidaknya sejak 2012. Kelompok ini menargetkan banyak industri, termasuk perjalanan, telekomunikasi, perawatan kesehatan, berita, dan pendidikan.

Blackberry mengatakan bahwa mereka telah menautkan titik-titik antara phishing di India dan APT41 dengan memantau aktivitas yang didokumentasikan sebelumnya terkait dengan malware komersial yang disebut Cobalt Strike. Tindakan yang terlihat oleh Blackberry menggunakan profil command-and-control (C2) yang dapat ditempa menunjukkan kesamaan dengan serangan lainnya.

Para peneliti menemukan alasan yang cukup untuk mengaitkan kampanye sebelumnya dan kampanye baru dengan mengidentifikasi blok profil HTTP GET yang hampir identik dan memetakan kesamaan dalam data konfigurasi Beacon. Beberapa cluster dengan metadata konfigurasi unik menunjukkan asosiasi dengan APT41.

Melalui taktik investigasi mereka, Blackberry menemukan tiga umpan phishing yang menargetkan warga negara India, yang menyamar sebagai komunikasi pemerintah tentang pajak atau COVID-19.

Umpan phishing, taktik APT41 favorit yang biasanya digunakan bersama dengan pencuri informasi, keylogger, dan backdoor memuat dan mengeksekusi Cobalt Strike Beacons ke jaringan target. Seketika berada di mesin pengguna, ancaman itu berbaur, menggunakan profil yang disesuaikan untuk melindungi lalu lintas jaringannya.

Tiga umpan phishing datang dalam bentuk PDF untuk mengalihkan perhatian pengguna saat aktivitas gelap berlangsung di latar belakang. Satu skema menggunakan skrip PowerShell yang disematkan, satu arsip self-extracting, dan satu lagi file zip.

Temuan ini menunjukkan bahwa grup APT41 masih secara teratur melakukan kampanye baru, dan kemungkinan besar mereka akan terus melakukannya di masa depan.

Sumber : The Register