Cyberthreat.id – Perusahaan keamanan siber Cybereason menemukan keterkaitan antara geng peretas APT35 dengan jenis ransomware yang belum lama ini terlihat, “Memento”.

APT35 atau Charming Kitten atau Fosfor ialah kelompok peretas yang terkenal dengan spionase siber dan diduga kuat berasal dari Iran.

“Menjelang akhir 2021, beberapa serangan mereka dilakukan dengan memanfaatkan kerentanan Microsoft Exchange Server yang populer dengan sebutan ‘ProxyShell’,” tulis Cybereason di blog perusahaan, Selasa (1 Februari 2022).

Peneliti Cybereason mendapati APT35 telah mengembangkan seperangkat alat baru, yaitu backdoor yang ditulis dalam PowerShell baru yang dijuluki PowerLess Backdoor. Backdoor ini bisa dipakai untuk membawa muatan malware lain, seperti keylogger dan pencuri info.

“Kode PowerShell berjalan dalam konteks aplikasi .NET sehingga tidak menjalankan powershell.exe sehingga memungkinkan untuk menghindari antivirus,” tulis Cybereason.

APT35 menggunakan malware tersebut diduga untuk target pengumpulan informasi.

Kelompok peretas sebelumnya terdeteksi menargetkan sejumlah fasilitas riset di AS, Eropa, dan Timur Tengah. Mereka juga aktif dalam spionase siber yang diduga terkait kepentingan politik Iran, tutur Cybereason.

Sementara itu, peneliti juga menemukan adanya alamat protokol internet (IP), yaitu 91.214.124[.]143 yang berkomunikasi dengan ransomware Memento.

Hubungan antara APT35 dengan Memento, menurut peneliti, ditemukan melalui pola taktik, teknik, dan prosedur (TTP) dan infrastruktur serangan.

Ditemukan tahun lalu oleh perusahaaan keamanan Sophos, Memento terlihat digunakan menargetkan jaringan TI melalui server “VMWare vCenter” yang belum ditambal menjelang akhir tahun lalu.

Sophos menyoroti serangan Memento karena menampilkan mekanisme failsafe unik yaitu mengunci file di dalam arsip WinRAR yang dilindungi kata sandi jika operasi enkripsi file utama gagal, tulis The Record.[]