Cyberthreat.id – Peneliti keamanan dari Mandiant, mengungkapkan bahwa sebuah kelompok peretas baru yang disponsori negara Iran, atau yang dikenal dengan APT42 telah ditemukan menggunakan malware Android khusus untuk memata-matai target yang diminati.

Dikutip dari Bleeping Computer, peneliti telah mengumpulkan cukup bukti untuk menentukan bahwa APT42 adalah aktor ancaman yang disponsori negara yang terlibat dalam spionase siber terhadap individu dan organisasi yang menjadi perhatian khusus pemerintah Iran.

“Tanda-tanda pertama aktivitas APT42 dimulai tujuh tahun lalu dan berkisar pada kampanye spear-phishing yang menargetkan pejabat pemerintah, pembuat kebijakan, jurnalis, akademisi di seluruh dunia, dan pembangkang Iran,” kata peneliti.

Menurut peneliti, kelompok itu berganti target beberapa kali untuk mencocokkan perubahan minat pengumpulan intelijen. Misalnya, pada tahun 2020, APT42 menggunakan email phishing yang menyamar sebagai ahli vaksin universitas Oxford untuk menargetkan obat-obatan asing.

Pada tahun 2021, APT42 menggunakan alamat email yang disusupi dari organisasi media AS untuk menargetkan korban dengan permintaan wawancara palsu, melibatkan mereka selama 37 hari sebelum menyerang dengan halaman pengambilan kredensial. Bahkan, baru-baru ini, pada Februari 2022, para peretas menyamar sebagai kantor berita Inggris untuk menargetkan profesor ilmu politik di Belgia dan Uni Emirat Arab.

Dalam kebanyakan kasus, peretas bertujuan untuk mengumpulkan kredensial dengan mengarahkan korbannya ke halaman phishing yang dibuat agar tampak sebagai portal masuk yang sah.

“Mereka melakukan ini dengan mengirimkan tautan yang dipersingkat atau lampiran PDF yang berisi tombol yang mengarah ke halaman pengambilan kredensial yang juga mampu mencegat kode MFA,” kata peneliti.

Sebagai informasi, jenis malware seluler yang digunakan dalam kampanye APT42 membantu pelaku ancaman melacak target paling diminatinya dengan cermat, mengekstrak panggilan telepon, kotak masuk SMS, dan rekaman audio ruangan setiap hari. Peneliti mengatakan spyware Android terutama menyebar ke target Iran melalui teks SMS yang berisi tautan ke aplikasi perpesanan atau VPN yang dapat membantu melewati pembatasan yang diberlakukan pemerintah.

“Penggunaan malware Android untuk menargetkan individu yang berkepentingan dengan pemerintah Iran memberi APT42 metode produktif untuk mendapatkan informasi sensitif tentang target, termasuk pergerakan, kontak, dan informasi pribadi,” kata peneliti.

Kemampuan kelompok yang telah terbukti untuk merekam panggilan telepon, mengaktifkan mikrofon dan merekam audio, mengekstrak gambar dan mengambil gambar sesuai perintah, membaca pesan SMS, dan melacak lokasi GPS korban secara real-time menimbulkan risiko dunia nyata bagi setiap korban. kampanye ini.

Namun, Mandiant juga melaporkan menemukan halaman arahan untuk mengunduh aplikasi IM dalam bahasa Arab, sehingga pelaku ancaman mungkin telah menyebarkan malware Android di luar Iran juga.

APT42 menggunakan serangkaian malware kustom ringan yang kaya pada sistem Windows untuk membangun pijakan dan mencuri kredensial yang memungkinkan mereka meningkatkan hak istimewa dan melakukan pengintaian di jaringan. Untuk gerakan lateral, peretas mengirim email phishing ke rekan pengguna yang disusupi. Pada saat yang sama, kehadiran di sistem yang baru dilanggar diamankan dengan menambahkan tugas terjadwal dan kunci registri Windows baru.