Cyberthreat.id - Peneliti keamanan siber di Malwarebytes mengatakan mereka menemukan email berbahaya yang menargetkan pejabat pemerintah di Kementerian Luar Negeri Yordania, dan tampaknya berasal dari kelompok ancaman produktif yang diduga berbasis di Iran.

Dilansir The Record, tim intelijen ancaman perusahaan mengatakan pada hari Selasa bahwa mereka mengidentifikasi pesan mencurigakan pada 26 April. Pesan itu berisi dokumen Excel berbahaya yang mengirimkan Saitama, alat peretasan baru yang digunakan untuk menyediakan pintu belakang ke dalam sistem.

Kementerian Luar Negeri Yordania tidak menanggapi permintaan komentar.

Malwarebytes mengaitkan email tersebut dengan kelompok ancaman yang umumnya dikenal sebagai APT34, yang diyakini para ahli berbasis di Iran dan telah terlihat menargetkan negara-negara Timur Tengah lainnya setidaknya sejak tahun 2014. Kelompok tersebut telah diberi beberapa nama oleh perusahaan siber — termasuk OilRig, Cobalt Gypsy, IRN2 dan Helix Kitten — dan sebagian besar menargetkan organisasi dan bisnis pemerintah di sektor keuangan, energi, kimia, dan telekomunikasi.

“Email jahat tersebut dikirimkan kepada korban melalui akun Microsoft Outlook dengan subjek 'Confirmation Receive Document' dengan file Excel bernama 'Confirmation Receive Document.xls.' Pengirim berpura-pura menjadi orang dari Pemerintah Yordania dengan menggunakan email tersebut,” kata laporan itu.

Para peneliti mengaitkan kampanye tersebut dengan APT34 karena dokumen berbahaya yang digunakan dalam serangan tersebut mirip dengan kampanye sebelumnya yang diidentifikasi tahun lalu oleh perusahaan keamanan siber lainnya, termasuk Check Point.

“Lebih khusus mirip dengan apa yang disebutkan dalam laporan Check Point, maldoc ini mendaftarkan tugas terjadwal yang akan meluncurkan executable setiap X menit, juga menggunakan teknik anti sandboxing yang sama (memeriksa apakah ada mouse yang terhubung ke PC atau tidak), Malwarebytes menjelaskan.

Para peneliti juga mengatakan bahwa mereka melihat “pola yang mirip dengan suar kembali ke server penyerang dan memberi tahu penyerang tentang tahap eksekusi saat ini.”

Malwarebytes juga mengidentifikasi beberapa indikator dan kesamaan yang terkait dengan kampanye sebelumnya yang menargetkan Yordania dan lainnya. Perusahaan keamanan siber Mandiant sebelumnya mengikat APT34 dengan kampanye yang menargetkan bank-bank di Timur Tengah.

Pintu belakang Saitama menyalahgunakan protokol Domain Name System (DNS), yang membantu pengguna internet dan perangkat jaringan menemukan situs web menggunakan nama host yang dapat dibaca manusia alih-alih alamat IP numerik.

Malwarebytes mengatakan Saitama lebih tersembunyi daripada pintu belakang lainnya karena menyalahgunakan protokol DNS untuk komunikasi komando dan kontrolnya dibandingkan dengan metode komunikasi lainnya.

Menurut Malwarebyetes, ada juga indikasi bahwa malware itu jelas ditargetkan dan juga menunjukkan bahwa pelaku memiliki pengetahuan sebelumnya tentang infrastruktur internal korban.[]