Want create site? With Free visual composer you can do it easy.

Peneliti keamanan telah menemukan sebuah peluncuran serangan spionase cyber baru, yang target utamanya adalah orang-orang yang bekerja di organisasi pemerintah, pertahanan dan akademis di berbagai negara.

Peluncuran serangan tersebut sedang dilakukan oleh kelompok ancaman yang terkait dengan Iran, yang mana aktivitas, metode serangan, dan targetnya telah dirilis dalam sebuah laporan gabungan dan terperinci yang diterbitkan oleh para periset di Trend Micro dan perusahaan ClearSky.

Dijuluki oleh para peneliti CopyKittens (alias Rocket Kittens), kelompok spionase cyber ini telah aktif sejak setidaknya tahun 2013 dan telah menargetkan organisasi serta individu, termasuk diplomat dan peneliti di Israel, Arab Saudi, Turki, Amerika Serikat, Yordania dan Jerman.

Organisasi yang ditargetkan termasuk lembaga pemerintah seperti Kementerian Luar Negeri, perusahaan pertahanan, perusahaan IT besar, institusi akademis, subkontraktor Kementerian Pertahanan, dan pemerintah kota, bersama dengan pegawai Perserikatan Bangsa-Bangsa.

Laporan terbaru dalam format PDF, yang dijuluki “Operation Wilted Tulip,” merinci peluncuran serangan spionase cyber aktif yang dilakukan oleh hacker CopyKittens, berbagai macam alat dan taktik yang mereka gunakan, infrastruktur command-and-control nya, dan modus operandi kelompok tersebut.

Bagaimana CopyKittens Menginfeksi Targetnya?

Kelompok ini menggunakan taktik yang berbeda untuk menginfiltrasi target mereka, yang mencakup serangan Watering Hole – dimana kode JavaScript dimasukkan ke situs web yang disusupi untuk mendistribusikan eksploitasi berbahaya.

Media berita dan organisasi yang situsnya disalahgunakan sebagai serangan Watering Hole termasuk The Jerusalem Post, yang bahkan German Federal Office for Information Security (BSI) mengeluarkan peringatan, media berita Maariv dan IDF Disabled Veterans Organization.

Selain serangan Water Hole, CopyKittens juga menggunakan metode lain untuk mengirim malware, termasuk:

  • Tautan lewat email ke situs web berbahaya yang dikendalikan oleh penyerang.
  • Dokumen Office yang memanfaatkan kerentanan yang baru ditemukan (CVE-2017-0199).
  • Eksploitasi server web menggunakan pemindai kerentanan dan alat SQLi seperti Havij, sqlmap, dan Acunetix.
  • Entitas media sosial palsu membangun kepercayaan dengan target dan berpotensi menyebarkan tautan berbahaya.

Kelompok ini menggunakan kombinasi metode ini untuk terus-menerus menargetkan korban yang sama di beberapa platform sampai mereka berhasil membangun tempat penampungan awal infeksi – sebelum beralih ke target yang lebih tinggi di jaringan,” Trend Micro menulis di sebuah posting blog.

Untuk menginfeksi targetnya, CopyKittens menggunakan alat malware buatannya sendiri yang dikombinasikan dengan alat komersial yang ada, seperti Cobalt Strike, Metasploit, Empire, backdoor TDTESS, dan Mimikatz.

Dijuluki Matryoshka, RAT ini adalah malware yang dikembangkan sendiri oleh kelompok yang menggunakan DNS untuk komunikasi command-and-control (C&C), serta memiliki kemampuan untuk mencuri password, menangkap tangkapan layar, merekam keystroke, mengumpulkan dan mengunggah file, dan memberi akses shell meterpreter pada penyerang.

Matryoshka menyebar melalui spear phishing dengan dokumen yang menyertainya. Dokumen tersebut berisi makro berbahaya yang meminta korban atau menyisipkan executable sehingga korban diminta untuk membukanya,” Clear Sky mengatakan dalam sebuah posting blog.

Versi awal malware ini dianalisis pada tahun 2015 dan terlihat di alam bebas mulai dari Juli 2016 sampai Januari 2017, meskipun kelompok tersebut juga mengembangkan dan menggunakan Matryoshka versi 2.

Did you find apk for android? You can find new Free Android Games and apps.