Cyberthreat.id – Peretas yang dikenal sebagai Muddled Libra menargetkan industri outsourcing proses bisnis (BPO) dengan serangan terus-menerus yang memanfaatkan taktik rekayasa sosial tingkat lanjut untuk mendapatkan akses awal.

"Gaya serangan yang mendefinisikan Muddled Libra muncul di radar keamanan siber pada akhir 2022 dengan dirilisnya kit phishing 0ktapus, yang menawarkan kerangka hosting prebuilt dan template yang dibundel," kata Palo Alto Networks Unit 42 dalam laporan teknis sebagaimana dikutip The Hacker News.

Libra adalah sebutan yang diberikan oleh perusahaan keamanan siber untuk kelompok kejahatan siber. Moniker "kacau" untuk aktor ancaman berasal dari ambiguitas yang berlaku sehubungan dengan penggunaan kerangka kerja 0ktapus.

0ktapus, juga dikenal sebagai Scatter Swine, mengacu pada kumpulan intrusi yang pertama kali terungkap pada Agustus 2022 sehubungan dengan serangan smishing terhadap lebih dari 100 organisasi, termasuk Twilio dan Cloudflare.

Kemudian pada akhir tahun 2022, CrowdStrike merinci serangkaian serangan dunia maya yang ditujukan untuk perusahaan telekomunikasi dan BPO setidaknya sejak Juni 2022 melalui kombinasi serangan phishing kredensial dan pertukaran SIM. Cluster ini dilacak dengan nama Roasted 0ktapus, Scattered Spider, dan UNC3944.

"Unit 42 memutuskan untuk memberi nama Muddled Libra karena lanskap kacau yang membingungkan terkait dengan kit phishing 0ktapus," peneliti ancaman senior Kristopher Russo mengatakan kepada The Hacker News.

"Karena kit ini sekarang tersedia secara luas, banyak pelaku ancaman lain yang menambahkannya ke gudang senjata mereka. Menggunakan kit phishing 0ktapus saja tidak serta merta mengklasifikasikan pelaku ancaman sebagai apa yang disebut Unit 42 Muddled Libra."

Serangan kelompok e-crime dimulai dengan penggunaan kit phishing smishing dan 0ktapus untuk membangun akses awal dan biasanya diakhiri dengan pencurian data dan ketekunan jangka panjang.

Ciri unik lainnya adalah penggunaan infrastruktur yang dikompromikan dan data yang dicuri dalam serangan hilir pada pelanggan korban, dan dalam beberapa kasus, bahkan menargetkan korban yang sama berulang kali untuk mengisi ulang kumpulan data mereka.

Unit 42, yang menyelidiki lebih dari setengah lusin insiden Libra yang kacau antara Juni 2022 dan awal 2023, mencirikan grup tersebut sebagai kelompok yang gigih dan "metodis dalam mengejar tujuan mereka dan sangat fleksibel dengan strategi serangan mereka", dengan cepat mengubah taktik saat menghadapi penghalang jalan.

Selain mendukung berbagai alat manajemen jarak jauh yang sah untuk mempertahankan akses persisten, Muddled Libra diketahui mengutak-atik solusi keamanan titik akhir untuk menghindari pertahanan dan menyalahgunakan taktik keletihan pemberitahuan autentikasi multi-faktor (MFA) untuk mencuri kredensial.

Pelaku ancaman juga telah diamati mengumpulkan daftar karyawan, peran pekerjaan, dan nomor telepon seluler untuk melakukan serangan bom yang cepat dan cepat. Jika pendekatan ini gagal, aktor Libra yang Kekacauan menghubungi meja bantuan organisasi yang menyamar sebagai korban untuk mendaftarkan perangkat MFA baru di bawah kendali mereka.

"Kesuksesan rekayasa sosial Libra yang kacau patut dicatat," kata para peneliti. "Di banyak kasus kami, grup tersebut menunjukkan tingkat kenyamanan yang luar biasa tinggi dengan melibatkan staf bantuan dan karyawan lain melalui telepon, meyakinkan mereka untuk terlibat dalam tindakan yang tidak aman."

Juga digunakan dalam serangan itu adalah alat pencuri kredensial seperti Mimikatz dan Raccoon Stealer untuk meningkatkan akses serta pemindai lain untuk memfasilitasi penemuan jaringan dan pada akhirnya mengekstraksi data dari Confluence, Jira, Git, Elastic, Microsoft 365, dan platform perpesanan internal.

Unit 42 berteori bahwa pembuat kit phishing 0ktapus tidak memiliki kemampuan canggih yang sama dengan yang dimiliki Libra Muddled, menambahkan tidak ada hubungan yang pasti antara aktor dan UNC3944 meskipun tradecraft tumpang tindih.

"Di persimpangan rekayasa sosial yang licik dan adaptasi teknologi yang gesit berdiri Libra yang kacau," kata para peneliti. "Mereka mahir dalam berbagai disiplin keamanan, mampu berkembang di lingkungan yang relatif aman dan mengeksekusi dengan cepat untuk menyelesaikan rangkaian serangan yang menghancurkan."

"Dengan pengetahuan yang mendalam tentang teknologi informasi perusahaan, kelompok ancaman ini menghadirkan risiko yang signifikan bahkan bagi organisasi dengan pertahanan dunia maya warisan yang berkembang dengan baik."[]