Cyberthreat.id – Peneliti keamanan dari Trend Micro, menemukan kampanye serangan siber yang menargetkan organisasi di Timur Tengah dengan malware backdoor baru.

Peneliti Trend Micro Mohamed Fahmy, Sherif Magdy dan Mahmoud Zohdy menghubungkannya dengan grup ancaman persisten tingkat lanjut (APT) yang disebut perusahaan sebagai APT34.

“Tujuan utamanya adalah mencuri kredensial pengguna. Bahkan dalam kasus pengaturan ulang atau perubahan kata sandi, malware mampu mengirimkan kredensial baru ke pelaku ancaman, “ kata peneliti Trend Micro, sesuai yang dikutip dari Info Security Magazine.

Selain itu, Fahmy, Magdy, dan Zohdy mengatakan bahwa setelah menganalisis varian pintu belakang yang digunakan sebagai bagian dari kampanye baru, mereka menemukan bahwa malware tersebut memiliki teknik eksfiltrasi tambahan dibandingkan dengan varian yang dipelajari sebelumnya.

Secara khusus, malware baru dapat menyalahgunakan akun kotak surat yang disusupi dan mengirimkan data yang dicuri dari kotak surat internal ke akun surat eksternal yang dikontrol penyerang.

“Meskipun bukan teknik yang baru, ini adalah contoh pertama APT34 menggunakan ini untuk penyebaran kampanye mereka,” kata peneliti Trend Micro.

Dari sudut pandang teknis, aliran infeksi serangan dimulai dengan malware dropper .Net yang disebut MrPerfectInstaller, yang bertanggung jawab menjatuhkan empat file berbeda. Ini kemudian akan menyalahgunakan Filter Kata Sandi Microsoft untuk mencegat dan/atau mengambil kredensial dari pengguna domain (pengontrol domain) atau akun lokal (komputer lokal) sebelum mengekstraknya melalui lalu lintas email yang sah.

“Fungsi backdoor utama adalah menerima kredensial domain yang valid sebagai argumen dan menggunakannya untuk masuk ke Exchange Server dan menggunakannya untuk tujuan eksfiltrasi data,” baca penasihat tersebut.

Peneliti mengatakan, fungsi utama dari tahap ini adalah mengambil kata sandi yang dicuri dari argumen dan mengirimkannya ke penyerang sebagai lampiran di email. Kami juga mengamati bahwa pelaku ancaman menyampaikan email ini melalui Server Exchange pemerintah menggunakan akun yang valid dengan kata sandi curian. Menurut TrendMicro, tim keamanan dapat keliru menandai sampel malware sebagai aman karena validitas domain dan kredensial email.

“Diperlukan analis yang lebih berpengalaman untuk melihat bahwa domain yang disalahgunakan dari domain direktori aktif yang lebih besar, yang berbagi hubungan kepercayaan untuk memungkinkan kementerian atau lembaga pemerintah yang berbeda untuk berkomunikasi,” kata peneliti.

Kelompok ancaman APT34 bukan satu-satunya organisasi penargetan di wilayah tersebut. Beberapa minggu yang lalu, kelompok ancaman terpisah yang ditemukan oleh TrendMicro diamati menggunakan iming-iming bertema geopolitik Timur Tengah untuk mendistribusikan NjRAT.