Cyberthreat.id - Microsoft Threat Intelligence Center (MSTIC) telah mempresentasikan analisis evolusi beberapa aktor ancaman Iran. Disampaikan di ajang CyberWarCon 2021 pada 16 November kemarin, temuan Microsoft menunjukkan serangan para hacker Iran semakin canggih.

Sejak September 2020, Microsoft telah melacak enam kelompok peretas Iran yang menyebarkan ransomware dan mengekstrak data untuk menyebabkan gangguan dan kehancuran bagi para korban.

Seiring waktu, kelompok peretas ini telah berkembang menjadi aktor ancaman yang mampu melakukan spionase dunia maya, menggunakan malware multi-platform, mengganggu operasi dengan wiper dan ransomware, melakukan serangan phishing dan penyemprotan kata sandi, dan bahkan menyiapkan operasi rantai pasokan yang canggih.

Semua kelompok ini menyebarkan ransomware untuk mencapai tujuan mereka dan disebarkan secara bergelombang, biasanya berjarak enam hingga delapan minggu.

Tahun ini, seperti dilaporkan Bleeping Computer, Microsoft mengamati para aktor memindai banyak kerentanan, termasuk yang menargetkan Fortinet FortiOS SSL VPN, Server Microsoft Exchange yang rentan terhadap ProxyShell, dan banyak lagi.

Diperkirakan, dengan memindai sistem VPN Fortinet yang tidak ditambal saja, para aktor memperoleh lebih dari 900 kredensial yang valid dalam bentuk teks biasa sepanjang tahun ini.

Tren lain yang muncul tahun lalu adalah peningkatan tingkat kesabaran dan ketekunan dalam kampanye rekayasa sosial, yang menunjukkan aktor yang canggih.

Sebelumnya, aktor seperti Phosphorus (Charming Kitten) mengirim email yang tidak diminta dengan tautan berbahaya dan lampiran yang dicampur, sebuah taktik massal yang keberhasilannya terbatas.

Sekarang, Phosphorus mengikuti jalur "undangan wawancara" yang memakan waktu, sebuah metode yang dibawa oleh kelompok peretas Korea Utara "Lazarus."

Selama serangan ini, aktor Phosphorus memanggil target dan memandu mereka dengan mengklik halaman pengambilan kredensial sebagai bagian dari proses wawancara.

Sebuah kelompok baru yang mengikuti taktik kesabaran yang sama disebut "Curium," dan analis Microsoft mengatakan aktor ini memanfaatkan jaringan luas akun media sosial palsu, biasanya menyamar sebagai wanita yang menarik.

Mereka menghubungi target dan membangun hubungan selama beberapa waktu, mengobrol setiap hari,  lalu merebut hati dan kepercayaan mereka.

Kemudian, suatu hari, mereka mengirim dokumen berbahaya yang terlihat mirip dengan file jinak yang dikirim sebelumnya, menghasilkan malware yang tersembunyi.

Taktik serupa digunakan oleh kelompok peretas yang terkait dengan Hamas, yang membuat aplikasi kencan palsu untuk memikat Pasukan Pertahanan Israel (IDF) agar menginstal aplikasi seluler yang mengandung malware.

Tidak jelas apakah kedua kampanye ini terkait.

Meskipun beberapa aktor bergerak lebih metodis, yang lain lebih suka menggunakan serangan "brute force" untuk mendapatkan akses ke akun Office 365 secara agresif.

Brute force adalah upaya untuk menguji semua username dan kata sandi yang berbeda sampai menemukan kombinasi yang benar, hingga akhirnya peretas mendapatkan akses ke akun yang ditargetkan.

Salah satu aktor ancaman tersebut adalah DEV-0343, yang terlihat menargetkan perusahaan teknologi pertahanan AS dan menjalankan serangan penyemprotan kata sandi besar-besaran bulan lalu.

Microsoft melaporkan bahwa DEV-0343 bergerak jauh lebih cepat daripada grup yang disebutkan di atas, biasanya mendapatkan akses ke akun target pada hari yang sama.

Juga, para peneliti telah melihat tumpang tindih seperti penargetan simultan dari akun tertentu oleh operator DEV-0343 dan 'Europium', bukti yang jelas dari tindakan terkoordinasi.

Peretas Iran terus berevolusi

Microsoft telah melacak aktor Iran sejak hampir satu dekade lalu, dan raksasa teknologi itu telah berhasil mengambil bagian dari infrastruktur mereka secara offline.

Terlepas dari upaya ini, Phosphorus telah berhasil memberikan pukulan yang signifikan, dengan contoh penting adalah peretasan pejabat tinggi pada Oktober tahun lalu.

Pengamatan terbaru MSTIC menggarisbawahi bahwa Phosphorus tidak hanya hidup dan sehat, tetapi juga sebagai ancaman perubahan bentuk yang didukung oleh kolaborator pluralisme yang belum pernah terjadi sebelumnya.[]