Cyberthreat.id - Kampanye serangan phishing terhadap entitas pemerintah di Teluk Persia terdeteksi oleh sekelompok peneliti baru-baru ini. Kampanye ini memanfaatkan ketegangan yang tengah meningkat di wilayah tersebut setelah pembunuhan jenderal Iran Qasem Suleimani di bandara Baghdad 3 Januari 2020.

Modus phishing dilakukan dengan cara mengirimkan gelombang email yang mengaku berasal dari Kementerian Luar Negeri Kerajaan Bahrain, Arab Saudi, dan Uni Emirat Arab (UEA).  

Kampanye ini terdeteksi dan dilaporkan oleh peneliti di Blue Hexagon, sebuah perusahaan yang mengembangkan kecerdasan buatan (AI) untuk mendeteksi Malware.

Email phishing yang dikirimkan dilakukan oleh perusahaan penyedia layanan email sehingga email tampak sah dan dipercaya. Malware Payload disimpan di Google Drive, sementara komunikasi perintah dan kontrol dikirim dari Twitter.

"Cara seperti ini adalah tren yang sedang berkembang di kalangan penyerang. Membuat serangan tidak terdeteksi dan membantu menyamarkan penyerang," tulis laporan di Security Week, Jumat (24 Januari 2020).

Irfan Asrar, kepala intelijen ancaman cyber dan operasi di Blue Hexagon, merasa yakin kampanye serangan ini hanya menimpa negara-negara di sekitar wilayah Teluk Persia.

"Kami dapat mengatakan dengan keyakinan yang tinggi bahwa serangan ini tidak ada hubungan dengan Iran," ujar Irfan Asrar.

Ia menduga phishing dilakukan oleh negara Eropa timur yang memanfaatkan situasi saat ini. Tujuannya untuk mendapatkan akses ke lembaga pemerintah, termasuk kedutaan besar dan pejabat pemerintah negara di sekitar Teluk Persia.

Negara-negara yang ditargetkan dapat disebut sekutu regional AS. Dokumen yang dilampirkan pada email menunjukkan gambar Suleimani disertai image 'bendera merah balas dendam' tradisional Iran.

Argumen yang ditampilkan adalah "Anda harus mengharapkan serangan balas dendam dari Iran (untuk menyerang AS), Anda harus membaca dokumen ini untuk informasi dari kementerian, dan Anda perlu mengaktifkan fungsi Word untuk melakukannya."

Jika fungsi-fungsi ini diaktifkan, muatan berbahaya yang di-host di Google Drive diunduh, termasuk backdoor/RAT.

"Setelah diaktifkan. Makro jahat yang tertanam dalam dokumen yang diunduh akan dieksekusi untuk mengunduh muatan tambahan yang dapat dieksekusi."

Salah satu unduhan adalah kartun lucu yang melibatkan Mr Bean (bukan sesuatu yang biasanya dikaitkan dengan penyerang Iran) tetapi berisi backdoor/RAT terenkripsi. Meskipun Iran dinilai tidak terlibat, tetapi Iran dikenal memiliki kemampuan perang proxy, baik fisik maupun siber.