Sebuah laporan baru yang diterbitkan oleh para peneliti cybersecurity telah mengungkap bukti peretas yang disponsori negara Iran yang menargetkan puluhan perusahaan dan organisasi di Israel dan di seluruh dunia selama tiga tahun terakhir.
Dijuluki " Fox Kitten ," kampanye spionase dunia maya ini dikatakan diarahkan pada perusahaan-perusahaan dari sektor IT, telekomunikasi, minyak dan gas, penerbangan, pemerintah, dan sektor keamanan.
"Kami memperkirakan kampanye yang diungkapkan dalam laporan ini sebagai salah satu kampanye paling berkelanjutan dan komprehensif Iran yang terungkap sampai sekarang," kata para peneliti ClearSky .
"Kampanye terungkap digunakan sebagai infrastruktur pengintaian; Kegiatan dikaitkan dengan kelompok ancaman APT33, APT34, dan APT39, the offensive - yang dilakukan dengan menggunakan campuran open source dan alat yang dikembangkan sendiri - juga memfasilitasi kelompok untuk mencuri informasi sensitif dan menggunakan serangan supply-chain untuk menargetkan organisasi, kata para peneliti.
Memanfaatkan Cacat VPN untuk Mengompromikan Jaringan Perusahaan
Vektor serangan utama yang digunakan oleh kelompok-kelompok Iran adalah eksploitasi kerentanan VPN yang belum ditambal untuk menembus dan mencuri informasi dari perusahaan target. Sistem VPN terkemuka yang dieksploitasi dengan cara ini termasuk Pulse Secure Connect ( CVE-2019-11510 ), Global Protect Palo Alto Networks ( CVE-2019-1579 ), Fortinet FortiOS ( CVE-2018-13379 ), dan Citrix ( CVE-2019- 19781 ).
ClearSky mencatat bahwa kelompok peretasan berhasil mendapatkan akses ke sistem inti target, menjatuhkan malware tambahan, dan menyebar secara lateral di seluruh jaringan dengan mengeksploitasi "kerentanan 1 hari dalam waktu yang relatif singkat."
Setelah berhasil mendapatkan pijakan awal, sistem yang dikompromikan itu ditemukan untuk berkomunikasi dengan server command-and-control (C2) penyerang-kontrol untuk mengunduh serangkaian file VBScript kustom yang, pada gilirannya, dapat digunakan untuk menanam di belakang rumah.
Selain itu, kode backdoor itu sendiri diunduh dalam potongan untuk menghindari deteksi oleh perangkat lunak antivirus yang diinstal pada komputer yang terinfeksi. Ini adalah tugas dari file yang diunduh terpisah - bernama "menggabungkan.bat" - untuk menyatukan file-file individual ini dan membuat file yang dapat dieksekusi.
Untuk melakukan tugas-tugas ini dan mencapai kegigihan, para aktor ancaman mengeksploitasi alat-alat seperti Juicy Potato dan Invoke the Hash untuk mendapatkan hak istimewa tingkat tinggi dan secara lateral bergerak melintasi jaringan. Beberapa alat lain yang dikembangkan oleh penyerang meliputi:
- STSRCheck - Alat untuk memetakan basis data, server, dan port terbuka di jaringan yang ditargetkan dan memaksa mereka dengan masuk dengan kredensial default.
- Port.exe - Alat untuk memindai port dan server yang telah ditentukan.
Setelah penyerang memperoleh kemampuan gerakan lateral, penyerang pindah ke tahap akhir: jalankan pintu belakang untuk memindai sistem yang dikompromikan untuk informasi yang relevan dan exfiltrate file kembali ke penyerang dengan membangun koneksi desktop jarak jauh (menggunakan alat yang dikembangkan sendiri yang disebut POWSSHNET ) atau membuka koneksi berbasis soket ke alamat IP hardcoded.
Selain itu, para penyerang menggunakan web shell untuk berkomunikasi dengan server yang berada di dalam target dan mengunggah file langsung ke server C2.
Pekerjaan Beberapa Kelompok Peretasan Iran
Berdasarkan penggunaan kampanye web shell dan tumpang tindih dengan infrastruktur serangan, laporan ClearSky menyoroti bahwa serangan terhadap server VPN mungkin terkait dengan tiga kelompok Iran - APT33 ("Elfin"), APT34 ("OilRig") dan APT39 (Chafer ).
Terlebih lagi, para peneliti menilai bahwa kampanye ini adalah hasil dari "kerja sama antara kelompok dalam infrastruktur," mengutip kesamaan dalam alat dan metode kerja di ketiga kelompok.
Baru bulan lalu, peretas yang didukung negara Iran - dijuluki " Magnallium " - ditemukan melakukan serangan password-spraying yang menargetkan utilitas listrik AS serta perusahaan minyak dan gas.
Mengingat bahwa para penyerang sedang mempersenjatai kelemahan VPN dalam waktu 24 jam, sangat penting bagi organisasi untuk memasang patch keamanan saat dan ketika tersedia.
Selain mengikuti prinsip hak istimewa yang paling rendah, ia juga mengatakan bahwa sistem kritis dipantau secara terus menerus dan selalu diperbarui. Menerapkan otentikasi dua langkah dapat membantu meminimalkan login yang tidak sah.
Sumber Artikel: TheHackerNews
