Hacker SolarWinds Kembali, Lakukan Serangan Phishing

Hacker SolarWinds Kembali, Lakukan Serangan Phishing

Internet Sehat : Nobelium, geng hacker yang berpihak pada Rusia yang diidentifikasi sebagai pelaku serangan rantai pasokan pada perangkat lunak Orion SolarWinds, telah kembali dalam melakukan serangan phishing. Hal ini diungkpakan oleh wakil presiden Microsoft Tom Burt dalam sebuah posting blog Kamis minggu lalu.

Burt mengatakan serangan tersebut membuat Nobelium mendapatkan akses ke akun di layanan pemasaran email Constant Contact yang dioperasikan oleh United States Agency for International Development (USAID).

Dengan menggunakan Constant Contact, Nobelium mengirim email phishing yang diinfus malware yang memasang pintu belakang yang disebut NativeZone yang mampu melakukan eksfiltrasi data dan menyebarkan malware ke seluruh jaringan korban.

Serangan tersebut bersifat global, meskipun sebagian besar korban berada di AS. Serangan tersebut menargetkan sekitar 3.000 akun email dan 150 organisasi berbeda, setidaknya seperempat di antaranya berada dalam bidang pembangunan internasional, kemanusiaan, dan hak asasi manusia. Target tersebut dipilih karena potensinya untuk menghasilkan informasi tentang politik luar negeri.

Microsoft telah merinci serangan itu dalam posting terpisah yang menjelaskan bahwa Threat Intelligence Center milik Microsoft telah mengamati serangan itu sejak Januari 2021 dan melihat eksperimen signifikan meskipun dampaknya kecil. Namun hal tersebut segera berubah pada 25 Mei ketika Nobelium mulai menggunakan Constant Contact dan melepaskan beberapa serangan phishing.

Mereka yang mengklik tautan akan terpental melalui tautan Constant Contact yang sah ke infrastruktur yang dikontrol geng hacker dan URL dengan format https://usaid.theyardservice[.]com/d/. ISO jahat kemudian mengunduh dan memberi Nobelium akses terus-menerus ke komputer yang disusupi.

Microsoft mengatakan sebagian besar pesan phishing ditangkap oleh filter otomatis, tetapi pesan yang berhasil melewatinya bisa berbahaya. Perusahaan telah mendesak agar berhati-hati, memblokir theyardservice.com dan mengadopsi otentikasi multi-faktor untuk setiap akun yang disusupi.

Sumber : The Register

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.