Cyberthreat.id – Sebuah riset mengungkapkan, kelompok ancaman siber di balik “MasterMana Botnet”, Gorgon Group, kini tumbuh kian canggih. Mereka sekarang menjebak para korban melalui halaman masuk (login) palsu.

MasterMana Botnet terkenal dengan serangan email phishing, pintu belakang (backdoor), dan menargetkan dompet-dompet mata uang kripto (cryptocurrency).

“Gorgon Group telah diamati menargetkan Uni Eropa serta perusahaan listrik dan air milik Dubai (Dubai Electricity and Water Authority/DEWA) dengan halaman login palsu yang sangat meyakinkan,” demikian temuan perusahaan keamanan siber asal Maryland, Amerika Serikat, Prevailion seperti dikutip dari Infosecurity Magazine, Jumat (7 Februari 2020).

Prevalion pertama kali mengamati aktivitas Gorgon Group sejak Desember 2018. Hingga Oktober 2019, seperti dikutip The Next Web, grup tersebut dikabarkan telah menginfeksi 3.300 perangkat.  

Aktivitas MasterMana Botnet terbaru diungkapkan dalam sebuah laporan bertajuk “The Triune Threat: MasterMana Returns” yang dirilis 6 Februari lalu.

Peneliti menuturkan, Gorgon Group kini menggunakan skema rekayasa sosial (social hacking) yang cerdas melalui kiriman email phishing kepada entitas yang ditargetkan.

Email yang berisi konfirmasi reservasi hotel palsu itu menargetkan penutur berbahasa Spanyol dan Portugis. Aksi ini telah dilakukan sejak pertengahan Oktober 2019 dan dokumen terbaru mereka dibuat pada 27 Januari 2020.

Malware murah

Secara historis, menurut peneliti, Gorgon Group mengandalkan malware murah yang diperoleh melalui forum bawah tanah (dark web). Namun, menurut peneliti, mereka sekarang justru mengembangkan dan menyesuaikan alat ini untuk menjadi lebih berbahaya.

“Saya terkejut pada tingkat kecanggihan yang ditunjukkan kelompok ini selama setahun terakhir,” kata Direktur Analisis Intelijen Prevailion, Danny Adamitis kepada Infosecurity Magazine.

“Selama ini, mereka mengambil sejumlah langkah untuk meningkatkan keamanan operasionalnya baik terhadap deteksi berbasis jaringan maupun host (perangkat),” ia menambahkan.

Salah satu contoh adalah penggunaan “office.dll” baru yang meningkatkan tingkat hak istimewa aktor, kemudian menonaktifkan Windows Defender. Contoh lain adalah aktor memodifikasi unggahan lama di Pastebin untuk membuat pelacakan aktivitas mereka menjadi lebih sulit.

Pastebin adalah situs web untuk menyimpan teks programming untuk jangka waktu tertentu. Portal ini terutama digunakan oleh programmer untuk menyimpan potongan kode sumber atau informasi konfigurasi. Situs ini mempermudah bagi siapa saja berbagi sejumlah besar teks programming secara online.

Saat ini tidak diketahui dari mana Gorgon Group beroperasi. Tapi, ia menduga kelompok ini beroperasi di Pakistan.

“Kami telah mengamati beberapa aktivitas Gorgon Grup yang terjadi dari alamat IP berbasis Pakistan; tapi alamat IP dapat dipalsukan. Kami tidak memiliki cukup bukti saat ini untuk membuat komentar definitif tentang atribusi.” kata Danny.[]

Redaktur: Andi Nugroho