Cyberthreat.id - Para penjahat cyber terus menargetkan sektor utilitas A.S. dengan malware LookBack Agustus lalu, kini ia meluncurkan kampanye phishing baru yang menargetkan organisasi dengan email yang menyamar sebagai administrator tes sertifikasi. Mereka menyerang dengan gigih, bahkan tak terpengaruh dengan publikasi yang menggambarkan perangkat mereka

Ditemukan awal tahun ini oleh para peneliti di Proofpoint, LookBack menyertakan mekanisme proxy dan modul trojan akses jarak jauh. “Pada bulan Juli, para penyerang di belakang LookBack mencoba menyebarkannya ke perusahaan-perusahaan utilitas melalui email phishing yang berusaha menipu penerima agar berpikir mereka gagal dalam ujian lisensi profesional untuk insinyur dan surveyor,” tulis SC Magazine, Kamis (26 September).

Seperti skema sebelumnya, menurut SC Magazine, phishing Agustus berusaha menginfeksi korban melalui dokumen Microsoft Word yang berisi makro VBA yang dikaburkan. Dalam kasus terbaru ini, pesan email menampilkan undangan untuk mengikuti ujian Energy Research and Intelligence Institution’s Global Energy Certification (Sertifikasi Energi Global Lembaga Penelitian dan Intelijen). Email palsu meminjam logo GEC yang sah dan dikirim dari domain palsu yang terlihat mirip dengan domain asli.

Dari 12 Juni hingga 30 Juli, domain palsu di-host oleh alamat IP yang juga digunakan dalam phishing Juli LookBack.

“Email berisi dua lampiran: dokumen Word yang dipersenjatai, dan panduan studi ujian jinak dan otentik dalam format PDF, termasuk untuk berpura-pura legitimasi,” demikian penjelasan Proofpoint Threat Insight Team kemarin di sebuah posting blog perusahaan yang ditulis oleh Michael Raggi, senior threat research engineer.

Serangan berlangsung antara 21 Agustus dan 29 Agustus, tetapi dua minggu sebelum kegiatan ini dimulai, para aktor ancaman menggunakan IP pementasan untuk melakukan pemindaian pengintaian terhadap target yang prospektif. “Pemindaian secara khusus menargetkan SMB melalui IP melalui port 445,” Proofpoint mencatat.

Menurut Proofpoint, malware LookBack dapat menyebutkan services; view of process, system, and file data; delete files; execute commands; take screenshots; manipulate the mouse; reboot machines dan delete itself.

"LookBack yang baru ditemukan diamati dalam sektor utilitas A.S. memberikan wawasan tentang kampanye Advanced Persistent Threat (APT) yang sedang berlangsung dengan malware kustom dan profil penargetan yang sangat spesifik," Raggi menyimpulkan. 

"Para aktor ancaman menunjukkan kegigihan ketika upaya intrusi telah digagalkan dan tampaknya tidak terpengaruh oleh publikasi yang menggambarkan perangkat mereka."

Mengutip temuan Proofpoint, sebuah laporan 23 September dari Forbes menyatakan bahwa tersangka yang paling mungkin di balik serangan LookBack adalah APT10, kelompok ancaman persisten tingkat lanjut yang secara luas terkait dengan peretas yang disponsori pemerintah China.

SC Media bertanya dengan Proofpoint untuk melihat apakah para peneliti dapat memvalidasi teori ini. “Meskipun kami tidak dapat mengungkapkan atribusi khusus pada saat ini karena investigasi yang sedang berlangsung, evolusi TTP termasuk makro yang diperbarui menunjukkan keberangkatan lebih lanjut dari taktik yang sebelumnya digunakan oleh kelompok APT yang dikenal,” kata Sherrod DeGrippo, direktur senior penelitian ancaman dan deteksi di Proofpoint. 

“Namun, kecanggihan yang terlihat dalam serangan ini dan penargetan sektor utilitas memiliki keunggulan sponsor negara. Analis kami tidak mengamati tumpang tindih kode tambahan atau penggunaan kembali infrastruktur yang akan memperkuat atribusi ke grup APT yang dikenal."[]