Cyberthreat.id – Hacker Iran telah dikaitkan dengan gelombang baru serangan phishing yang menargetkan Israel yang dirancang untuk menyebarkan PowerLess, yaitu versi terbaru dari backdoor Windows. 

The Hacker News menyebutkan Perusahaan Cybersecurity Check Point sedang melacak kluster aktivitas di bawah pegangan makhluk mitos Manticore Educated, yang menunjukkan "tumpang tindih yang kuat" dengan kru peretasan yang dikenal sebagai APT35, Charming Kitten, Cobalt Illusion, ITG18, Mint Sandstorm (sebelumnya Phosphorus), TA453, dan Yellow Garuda.

"Seperti banyak aktor lainnya, Educated Manticore telah mengadopsi tren terkini dan mulai menggunakan gambar ISO dan mungkin file arsip lain untuk memulai rantai infeksi," kata perusahaan Israel itu dalam laporan teknis yang diterbitkan Selasa (25 April 2023).

Aktif sejak 2011, APT35 telah menebar jaring target yang luas dengan memanfaatkan persona media sosial palsu, teknik spear-phishing, dan kerentanan N-day dalam aplikasi yang terpapar internet untuk mendapatkan akses awal dan melepaskan berbagai muatan, termasuk ransomware.

Perkembangan tersebut merupakan indikasi bahwa hacker terus menyempurnakan dan memperlengkapi kembali persenjataan malware-nya untuk memperluas fungsionalitasnya dan menolak upaya analisis, sementara juga mengadopsi metode yang ditingkatkan untuk menghindari deteksi.

Rantai serangan yang didokumentasikan oleh Check Point dimulai dengan file image disk ISO yang menggunakan iming-iming bertema Irak untuk menjatuhkan pengunduh dalam memori khusus yang pada akhirnya meluncurkan implan PowerLess.

File ISO bertindak sebagai saluran untuk menampilkan dokumen umpan yang ditulis dalam bahasa Arab, Inggris, dan Ibrani, dan dimaksudkan untuk menampilkan konten akademik tentang Irak dari entitas nirlaba yang sah yang disebut Arab Science and Technology Foundation (ASTF). Pola ini sekaligus menunjukkan bahwa komunitas riset mungkin telah menjadi sasaran kampanye.

The PowerLess Backdoor, yang sebelumnya disorot oleh Cybereason pada Februari 2022, hadir dengan kemampuan untuk mencuri data dari browser web dan aplikasi seperti Telegram, mengambil tangkapan layar, merekam audio, dan mencatat penekanan tombol.

"Sementara muatan PowerLess baru tetap serupa, mekanisme pemuatannya telah meningkat secara signifikan, mengadopsi teknik yang jarang terlihat di alam liar, seperti menggunakan file biner .NET yang dibuat dalam mode campuran dengan kode perakitan," kata Check Point.

"Komunikasi [command-and-control] PowerLess ke server dikodekan Base64 dan dienkripsi setelah mendapatkan kunci dari server. Untuk menyesatkan peneliti, pelaku ancaman secara aktif menambahkan tiga huruf acak di awal gumpalan yang disandikan."

Selain itu, perusahaan cybersecurity itu juga menemukan dua file arsip lain yang digunakan sebagai bagian dari rangkaian intrusi berbeda yang berbagi tumpang tindih dengan urutan serangan yang disebutkan di atas karena penggunaan file PDF bertema Irak yang sama.

Analisis lebih lanjut mengungkapkan bahwa rantai infeksi yang muncul dari dua file arsip ini berujung pada eksekusi skrip PowerShell yang dirancang untuk mengunduh dua file dari server jarak jauh dan menjalankannya.

"Educated Manticore terus berevolusi, menyempurnakan kumpulan alat yang diamati sebelumnya dan memberikan mekanisme," kata Check Point, menambahkan "aktor mengadopsi tren populer untuk menghindari deteksi" dan terus "mengembangkan kumpulan alat khusus menggunakan teknik canggih."

"Karena ini adalah versi terbaru dari malware yang dilaporkan sebelumnya, penting untuk dicatat bahwa itu mungkin hanya mewakili tahap awal infeksi, dengan sebagian kecil aktivitas pasca-infeksi yang signifikan belum terlihat di alam liar."[]