Cyberthreat.id - Kelompok Advanced Persistent Threat (APT) asal Iran diduga tengah beraksi menargetkan beberapa pemerintahan negara lain untuk mencuri kredensial melalui email phising. Dengan menggunakan Malware baru yang dijuluki ForeLord, kelompok APT ini mendistribusikannya lewat kampanye yang berjalan sejak pertengahan 2019 hingga pertengahan Januari 2020.

"Email tersebut menargetkan organisasi di Turki, Yordania, Irak, serta organisasi pemerintah global dan entitas tak dikenal di Georgia dan Azerbaijan," tulis laporan ThreatPost, Kamis (27 Februari 2020).

Menurut para peneliti, jika melihat dari viktimologi dan kesamaan kode antara makro dalam sampel yang dianalisis dan makro yang didokumentasikan, kampanye ini dihubungkan dengan kelompok Cobalt Ulster yang juga dikenal sebagai MuddyWater, Seedworm, TEMP.Zagros, dan Static Kitten.

Peneliti Secureworks, Allison Wikoff, menyatakan secara historis kelompok APT ini selalu menargetkan korban dari sektor pemerintah dan organisasi di Timur Tengah dengan tujuan melakukan eksfiltrasi data.

“Cobalt Ulster adalah grup ancaman aktif yang operasinya berkelanjutan. Kami percaya musuh ini masih aktif bekerja untuk mencapai tujuan strategis mereka," kata Allison kepada Threat Post.

Dalam kampanye ini peneliti mengamati beberapa email menggunakan lampiran jahat untuk mendapatkan akses awal. Sementara secara historis, spear phishing oleh Cobalt Ulster menggunakan tema yang terkait dengan lembaga pemerintah, universitas atau organisasi intelijen sebagai topik di dalam email.

"Kami telah mengamati banyak kelompok ancaman, sasaran, dan komoditas, menggunakan taktik yang diamati di dalam umpan (email). Secara khusus, taktik ini menggunakan prompt umum yang mengaktifkan Makro untuk melihat konten dokumen. Jika korban melakukan ini, kode berbahaya dijalankan. Taktik ini tidak unik bagi Cobalt Ulster."

Setelah menerima email phising, para korban diminta untuk membuka arsip ZIP yang berisi file Excel berbahaya, yang kemudian meminta pengguna mengaktifkan konten untuk melihat dokumen. Setelah mereka mengaktifkan konten, kontrol keamanan dinonaktifkan dan kode jahat segera tertanam dan dijalankan di sistem korban.

Dokumen jahat akan menggunakan command prompt (cmd.exe) untuk menjalankan skrip batch, yang kemudian menambahkan kunci ke registri. Secara bersamaan, skrip PowerShell dijalankan dan menggunakan rundll.32 yang menjadi alat Windows untuk menjalankan kode program dalam file DLL, seolah-olah mereka berada dalam program yang sebenarnya; banyak virus juga menggunakan nama ini atau yang serupa untuk mengeksekusi malware ForeLord.

Begitu ForeLord terhubung ke server command and control (C2), ia menerima serangkaian kode yang mengatakan "lordlordlordlord," yang menunjukkan bahwa pesannya telah diterima oleh C2. Setelah diunduh, ForeLord menjatuhkan beberapa alat yang digunakan untuk mengumpulkan kredensial, menguji kredensial tersebut di jaringan, dan membuat terowongan SSL terbalik untuk menyediakan saluran akses tambahan ke jaringan.

Para peneliti mengatakan, meskipun Iran mengancam akan membalas dendam atas peristiwa geopolitik baru-baru ini, kampanye ini menunjukkan bahwa APT Iran terus fokus pada kegiatan cyber espionage yang sudah berjalan lama.

Meskipun Iran sebenarnya belum meluncurkan pembalasan lewat serangan cyber atas kematian Jenderal Soleimani, mereka mengakui bahwa dalam melakukan perencanaan dan koordinasi untuk tanggapan membutuhkan waktu.

"Dari perspektif manajemen ancaman dan penilaian risiko, peneliti CTU menyarankan organisasi untuk tidak mengacaukan operasi spionase yang sedang berlangsung dengan respons balasan. Namun, terus meningkatkan kewaspadaan untuk menilai dan meningkatkan kontrol akan membantu para pembela jaringan mengamankan lingkungan mereka." []

Redaktur: Arif Rahman