Penjahat Siber BlindEagle Manfaatkan Plugin Buat Taktik Serangan Terbarunya
22 August 2024 |
08:30 WIB
Desyinta Nuraini
Jurnalis Hypeabis.id
Kelompok penjahat siber BlindEagle yang dikenal sejak 2018 baru-baru ini mengembangkan metode mata-mata dalam kampanye terbarunya. Berganti di antara berbagai trojan akses jarak jauh (RAT) sumber terbuka, kini para pelaku memilih njRAT sebagai alat inti mereka dalam melancarkan aksinya.
Malware ini diklaim memungkinkan pencatatan tombol, akses webcam, pencurian detail mesin, tangkapan layar, pemantauan aplikasi, dan aktivitas mata-mata lainnya. Perangkat lunak yang diprogram untuk menyebabkan kerusakan pada komputer ini juga diperbarui dengan kemampuan serangan tambahan yakni mendukung ekstensi plugin khusus yang memungkinkan eksekusi biner dan file .NET.
Cakupan potensial plugin ini mencakup eksekusi modul spionase tambahan dan pengumpulan informasi yang lebih sensitif. “Dalam kampanye sebelumnya, kelompok tersebut telah menggunakan modul untuk memfilter lokasi korban, memperoleh informasi sistem terperinci, seperti aplikasi yang diinstal, menonaktifkan perangkat lunak antivirus, dan menyuntikkan muatan berbahaya seperti Meterpreter,” ujar Leandro Cuozzo, Peneliti Keamanan di Kaspersky Global Research and Analysis Team (GReAT), dikutip Hypeabis.id, Rabu (21/8/2024).
Baca Juga: Eksklusif Onno W. Purbo: Sumber Daya Manusia Jadi Elemen Penting Menangkal Serangan Siber
Dia menerangkan, untuk mengirimkan malware dan plugin baru, penyerang pertama-tama menginfeksi sistem menggunakan spear phishing. Mereka mengirim email yang menyamar sebagai badan pemerintahan, memberi tahu korban tentang denda atau penilangan lalu lintas palsu.
Email tersebut menyertakan lampiran yang tampak seperti PDF tetapi sebenarnya adalah Visual Basic Script (VBS) berbahaya yang menyebarkan malware mata-mata (spy) ke komputer korban dalam serangkaian tindakan.
Dalam kampanye ini, peneliti Kaspersky mengamati bahwa dropper tersebut semakin banyak berisi artefak dalam bahasa Portugis, terutama dalam variabel, nama fungsi, dan komentar. “Ada tren yang berkembang bagi BlindEagle untuk menggunakan bahasa Portugis, yang menunjukkan bahwa kelompok tersebut mungkin berkolaborasi dengan pelaku ancaman eksternal,” tuturnya.
Sebelumnya, bahasa Spanyol mendominasi artefak BlindEagle, tetapi dalam kampanye tahun lalu, kelompok tersebut mulai menggunakan beberapa fungsi dan nama variabel dalam bahasa Portugis secara bertahap. Saat ini, bahasa Portugis digunakan secara signifikan.
Selain menggunakan bahasa Portugis, kelompok tersebut mulai menggunakan domain Brasil untuk memuat malware multi-tahap. Hal ini menurutnya mendukung teori bahwa mereka mungkin bekerja dengan seseorang di luar tim.
Kelompok tersebut menggunakan situs hosting gambar Brasil untuk memasukkan kode berbahaya ke komputer korban. Sebelumnya, mereka menggunakan layanan seperti Discord atau Google Drive. Skrip berbahaya tersebut menjalankan perintah untuk mengunduh gambar dari situs hosting gambar yang baru digunakan. Ini berisikan kode berbahaya yang diekstrak dan dijalankan di komputer korban.
Leandro menyampaikan dalam lanskap digital yang berkembang pesat saat ini, maraknya kampanye spionase siber yang canggih, penting bagi organisasi dan individu untuk tetap waspada dan terlindungi dari ancaman yang muncul. Evolusi taktik berbahaya yang berkelanjutan lantas menuntut pendekatan proaktif terhadap keamanan siber. “Termasuk memanfaatkan intelijen ancaman yang kuat dan teknologi deteksi mutakhir serta menumbuhkan budaya kewaspadaan dan ketahanan siber,” tambahnya.
Sementara itu, Kaspersky juga menyaksikan BlindEagle meluncurkan kampanye terpisah pada Juni 2024d dengan menggunakan teknik sideloading DLL. Ini merupakan sebuah metode yang digunakan untuk mengeksekusi kode berbahaya melalui Dynamic Link Libraries (DLL) Windows, yang tidak biasa bagi pelaku ancaman.
Sebagai vektor awal, kelompok tersebut mengirim dokumen yang sebenarnya adalah file PDF atau DOCX berbahaya. Mereka menipu korban agar mengklik tautan tertanam untuk mengunduh dokumen fiktif tersebut.
Dokumen-dokumen ini adalah file ZIP yang berisi file yang dapat dieksekusi untuk memulai infeksi melalui sideloading, bersama dengan berbagai file berbahaya yang digunakan dalam rantai serangan. Para pelaku ancaman memilih versi AsyncRAT yang sebelumnya digunakan dalam beberapa kampanye.
BlindEagle (alias APT-C-36) adalah kelompok Advanced Persistent Threat (APT) yang dikenal karena teknik dan metode serangannya yang sederhana namun efektif. Kelompok ini dikenal karena kampanye terus-menerus yang ditujukan pada organisasi dan individu di Kolombia, Ekuador, dan negara-negara lain di Amerika Latin.
Mereka menargetkan entitas dari berbagai sektor, termasuk lembaga pemerintahan, organisasi energi dan minyak serta gas, hingga perusahaan keuangan. Dikenal karena menggunakan berbagai RAT sumber terbuka secara bergantian, seperti njRAT, Lime-RAT, atau BitRAT, tujuan utama kelompok ini adalah untuk memata-matai korban dan mencuri informasi keuangan.
Kelompok ini menunjukkan kemampuan beradaptasi dalam menentukan motif serangan sibernya dan telah menunjukkan fleksibilitas seperti beralih dari serangan keuangan murni menjadi operasi spionase.
Dalam kampanye spionase yang dilakukan pada Mei dan Juni tahun ini, 87 persen individu dan organisasi yang menjadi target berlokasi di Kolombia, khususnya dari sektor pemerintahan, pendidikan, kesehatan, dan transportasi, meskipun tidak terbatas hanya pada sektor-sektor ini.
Leandro menyebut agar tetap terlindungi dari ancaman, para peneliti menyarankan untuk mengikuti aturan sederhana seperti tetap waspada. Pelaku spionase ini biasanya menyamar sebagai lembaga pemerintahan, tetapi lembaga tersebut tidak menghubungi individu melalui email untuk meminta pemberitahuan hukum.
Hal yang sama berlaku untuk perbankan dan lembaga keuangan, yang sering kali berfungsi sebagai kedok bagi pelaku ancaman untuk memikat korban agar mengeklik konten berbahaya. Setelah menerima permintaan seperti itu, selalu periksa kembali keabsahannya. “Tetap aman dengan bersikap hati-hati dan memverifikasi keaslian email yang tidak terduga,” imbaunya.
Kemudian, pesan dari organisasi resmi, seperti bank, lembaga pajak, toko daring, agen perjalanan, maskapai penerbangan, dan sebagainya, juga memerlukan pemeriksaan. Hal ini juga berlaku terhadap pesan internal dari kantor.
Leandro juga menyarankan kan untuk ,menginstal solusi keamanan tepercaya dan ikuti rekomendasinya. Solusi yang aman akan menyelesaikan sebagian besar masalah secara otomatis dan memberikan pemberitahuan kepada pengguna jika diperlukan.
Baca Juga: Perusahaan Telekomunikasi Jadi Target Utama Serangan Siber, Ini Alasannya
Editor: M. Taufikul Basari
Malware ini diklaim memungkinkan pencatatan tombol, akses webcam, pencurian detail mesin, tangkapan layar, pemantauan aplikasi, dan aktivitas mata-mata lainnya. Perangkat lunak yang diprogram untuk menyebabkan kerusakan pada komputer ini juga diperbarui dengan kemampuan serangan tambahan yakni mendukung ekstensi plugin khusus yang memungkinkan eksekusi biner dan file .NET.
Cakupan potensial plugin ini mencakup eksekusi modul spionase tambahan dan pengumpulan informasi yang lebih sensitif. “Dalam kampanye sebelumnya, kelompok tersebut telah menggunakan modul untuk memfilter lokasi korban, memperoleh informasi sistem terperinci, seperti aplikasi yang diinstal, menonaktifkan perangkat lunak antivirus, dan menyuntikkan muatan berbahaya seperti Meterpreter,” ujar Leandro Cuozzo, Peneliti Keamanan di Kaspersky Global Research and Analysis Team (GReAT), dikutip Hypeabis.id, Rabu (21/8/2024).
Baca Juga: Eksklusif Onno W. Purbo: Sumber Daya Manusia Jadi Elemen Penting Menangkal Serangan Siber
Dia menerangkan, untuk mengirimkan malware dan plugin baru, penyerang pertama-tama menginfeksi sistem menggunakan spear phishing. Mereka mengirim email yang menyamar sebagai badan pemerintahan, memberi tahu korban tentang denda atau penilangan lalu lintas palsu.
Email tersebut menyertakan lampiran yang tampak seperti PDF tetapi sebenarnya adalah Visual Basic Script (VBS) berbahaya yang menyebarkan malware mata-mata (spy) ke komputer korban dalam serangkaian tindakan.
Dalam kampanye ini, peneliti Kaspersky mengamati bahwa dropper tersebut semakin banyak berisi artefak dalam bahasa Portugis, terutama dalam variabel, nama fungsi, dan komentar. “Ada tren yang berkembang bagi BlindEagle untuk menggunakan bahasa Portugis, yang menunjukkan bahwa kelompok tersebut mungkin berkolaborasi dengan pelaku ancaman eksternal,” tuturnya.
Sebelumnya, bahasa Spanyol mendominasi artefak BlindEagle, tetapi dalam kampanye tahun lalu, kelompok tersebut mulai menggunakan beberapa fungsi dan nama variabel dalam bahasa Portugis secara bertahap. Saat ini, bahasa Portugis digunakan secara signifikan.
Selain menggunakan bahasa Portugis, kelompok tersebut mulai menggunakan domain Brasil untuk memuat malware multi-tahap. Hal ini menurutnya mendukung teori bahwa mereka mungkin bekerja dengan seseorang di luar tim.
Kelompok tersebut menggunakan situs hosting gambar Brasil untuk memasukkan kode berbahaya ke komputer korban. Sebelumnya, mereka menggunakan layanan seperti Discord atau Google Drive. Skrip berbahaya tersebut menjalankan perintah untuk mengunduh gambar dari situs hosting gambar yang baru digunakan. Ini berisikan kode berbahaya yang diekstrak dan dijalankan di komputer korban.
Leandro menyampaikan dalam lanskap digital yang berkembang pesat saat ini, maraknya kampanye spionase siber yang canggih, penting bagi organisasi dan individu untuk tetap waspada dan terlindungi dari ancaman yang muncul. Evolusi taktik berbahaya yang berkelanjutan lantas menuntut pendekatan proaktif terhadap keamanan siber. “Termasuk memanfaatkan intelijen ancaman yang kuat dan teknologi deteksi mutakhir serta menumbuhkan budaya kewaspadaan dan ketahanan siber,” tambahnya.
Sementara itu, Kaspersky juga menyaksikan BlindEagle meluncurkan kampanye terpisah pada Juni 2024d dengan menggunakan teknik sideloading DLL. Ini merupakan sebuah metode yang digunakan untuk mengeksekusi kode berbahaya melalui Dynamic Link Libraries (DLL) Windows, yang tidak biasa bagi pelaku ancaman.
Sebagai vektor awal, kelompok tersebut mengirim dokumen yang sebenarnya adalah file PDF atau DOCX berbahaya. Mereka menipu korban agar mengklik tautan tertanam untuk mengunduh dokumen fiktif tersebut.
Dokumen-dokumen ini adalah file ZIP yang berisi file yang dapat dieksekusi untuk memulai infeksi melalui sideloading, bersama dengan berbagai file berbahaya yang digunakan dalam rantai serangan. Para pelaku ancaman memilih versi AsyncRAT yang sebelumnya digunakan dalam beberapa kampanye.
BlindEagle (alias APT-C-36) adalah kelompok Advanced Persistent Threat (APT) yang dikenal karena teknik dan metode serangannya yang sederhana namun efektif. Kelompok ini dikenal karena kampanye terus-menerus yang ditujukan pada organisasi dan individu di Kolombia, Ekuador, dan negara-negara lain di Amerika Latin.
Mereka menargetkan entitas dari berbagai sektor, termasuk lembaga pemerintahan, organisasi energi dan minyak serta gas, hingga perusahaan keuangan. Dikenal karena menggunakan berbagai RAT sumber terbuka secara bergantian, seperti njRAT, Lime-RAT, atau BitRAT, tujuan utama kelompok ini adalah untuk memata-matai korban dan mencuri informasi keuangan.
Kelompok ini menunjukkan kemampuan beradaptasi dalam menentukan motif serangan sibernya dan telah menunjukkan fleksibilitas seperti beralih dari serangan keuangan murni menjadi operasi spionase.
Dalam kampanye spionase yang dilakukan pada Mei dan Juni tahun ini, 87 persen individu dan organisasi yang menjadi target berlokasi di Kolombia, khususnya dari sektor pemerintahan, pendidikan, kesehatan, dan transportasi, meskipun tidak terbatas hanya pada sektor-sektor ini.
Leandro menyebut agar tetap terlindungi dari ancaman, para peneliti menyarankan untuk mengikuti aturan sederhana seperti tetap waspada. Pelaku spionase ini biasanya menyamar sebagai lembaga pemerintahan, tetapi lembaga tersebut tidak menghubungi individu melalui email untuk meminta pemberitahuan hukum.
Hal yang sama berlaku untuk perbankan dan lembaga keuangan, yang sering kali berfungsi sebagai kedok bagi pelaku ancaman untuk memikat korban agar mengeklik konten berbahaya. Setelah menerima permintaan seperti itu, selalu periksa kembali keabsahannya. “Tetap aman dengan bersikap hati-hati dan memverifikasi keaslian email yang tidak terduga,” imbaunya.
Kemudian, pesan dari organisasi resmi, seperti bank, lembaga pajak, toko daring, agen perjalanan, maskapai penerbangan, dan sebagainya, juga memerlukan pemeriksaan. Hal ini juga berlaku terhadap pesan internal dari kantor.
Leandro juga menyarankan kan untuk ,menginstal solusi keamanan tepercaya dan ikuti rekomendasinya. Solusi yang aman akan menyelesaikan sebagian besar masalah secara otomatis dan memberikan pemberitahuan kepada pengguna jika diperlukan.
Baca Juga: Perusahaan Telekomunikasi Jadi Target Utama Serangan Siber, Ini Alasannya
Editor: M. Taufikul Basari
Komentar
Silahkan Login terlebih dahulu untuk meninggalkan komentar.