Cyberthreat.id – Peneliti keamanan siber dari MalwareBytes menemukan geng hacker canggih (APT) bernama “LazyScripter” terdeteksi menargetkan maskapai penerbangan anggota Asosiasi Transportasi Udara Internasional (IATA).

Saat menemukan serangan pada Desember lalu, Malwarebytes bermula dari sejumlah email berbahaya yang secara khusus menargetkan individu yang mencari pekerjaan..

Setelah didalami, peneliti menemukan kampanye spam yang ditargetkan sejak 2018 menggunakan umpan phishing dengan tema yang ditujukan tidak hanya untuk mereka mencari kerja dengan tujuan Kanada, tapi juga untuk maskapai penerbangan.

Namun, mereka tak menyebutkan maskapai penerbangan mana yang terkena dampak.

MalwareBytes mengatakan, tujuan utama operator LazyScripter diduga kuat mencuri informasi penting dan intelijen dari korban yang menjadi sasaran.

Geng APT itu dideteksi MalwareBytes pada Desember 2020, tapi diketahui aktivitas mereka telah ada sejak 2018. Senjata awal mereka adalah pesan phishing.

Menurut MalwareBytes, LazyScripter dikenal dengan serangan “Power shell Empire” di perangkat korban yang menggunakan muatan bernama “Prospoader”.

Namun, mereka baru-baru ini beralih ke “Octopus manager” dan “Koadic” yang dipasang menggunakan muatan “Kocktopus”.

“Operator LazyScripter menggunakan beberapa teknik untuk mengelabui pengguna agar mengklik atau mengunduh URL atau lampiran berbahaya untuk menginfeksi perangkat mereka,” ujar MalwareBytes.

Umpan phishing yang digunakan, seperti berkedok “Keamanan IATA”, “BSPlink Updater/Upgrade” (BSPlink adalah antarmuka global untuk agen perjalanan dan maskapai penerbangan untuk mengakses IATA Billing and Settlement Plan),  IATA ONE ID, Kit dukungan pengguna IATA, Pariwisata (UNWTO), informasi terkait Covid-19, pembaruan Microsoft,  informasi pekerjaan, program pekerja keterampilan Kanada, Visa Kanada (CanadaVisa.com adalah kehadiran online dari Firma Hukum Imigrasi Campbell Cohen)

Malwarebytes akhirnya menemukan 14 dokumen berbahaya yang digunakan oleh geng penjahat siber itu sejak 2018, terutama yang membawa muatan “Koctopus atau Empoder.”

MalwareBytes menemukan kampanye terbaru terlihat pada 5 Februari 2021. Mereka mendistribusikan varian “Koctopus” yang berpura-pura menjadi 'BSPLink Upgrade.exe' dan berhasil melepaskan varian “Quasar Rat”, selain “Octopus” dan “Koadic”.

Sebelumnya, MalwareBytes juga melihat kampanye lain pada 6 Januari 2021. Geng tersebut mendistribusikan varian “Koctopus” yang berpura-pura menjadi perangkat lunak “IATA ONE ID.exe”.[]

Sumber: CISO | Security Magazine | Redaktur: Andi Nugroho