Cyberthreat.id – Peneliti perusahaan keamanan siber Group-IB mengidentifikasi kelompok peretas RedCurl, yang diduga berafiliasi dengan sebuah negara (APT), beroperasi dalam 26 serangan siber sejak 2018.

RedCurl—yang diindikasikan berbahasa Rusia—, menurut peneliti, fokus dalam aksi spionase di sektor perbankan, konstruksi, konsultasi, keuangan, asuransi, hukum, ritel, dan perjalanan (travel).

“Kelompok tersebut menargetkan korban di Kanada, Jerman, Norwegia, Rusia, Ukraina, dan Inggris. Sebanyak 14 organisasi menjadi korban serangan, bahkan beberapa kali terjadi berulang,” tulis SecurityWeek, diakses Jumat (14 Agustus 2020).

Peneliti mengatakan, kelompok RedCurl terlihat lebih tertarik pada basis data yang berisi kompersial, seperti kontrak, dokumen keuangan, dan hukum atau informasi pribadi karyawan.

Pada Mei 2018 menjadi serangan paling awal yang diketahui dari RedCurl, menurut peneliti. Mereka menggunakan teknik serangan phising email.

Mereka menggunakan tautan ke layanan penyimpanan cloud yang sah. Lalu, pengunduh Trojan PowerShell digunakan untuk mengambil dan menjalankan paket malware tambahan.

Setelah mendapatkan pijakan di infrastruktur korban, penyerang akan memindai folder dan dokumen kantor yang dapat dijangkau dari sistem yang terinfeksi dan kemudian memutuskan apakah ada konten yang menarik.

Selanjutnya, penyerang juga akan mengganti file *.jpg, *.pdf, *.doc, *.docx, *.xls, dan *.xlsx pada drive jaringan dengan pintasan LNK yang dimodifikasi, sehingga dropper RedCurl akan diluncurkan saat korban mencoba untuk membukanya. Jadi, malware APT akan menyebar di dalam jaringan korban.

Kelompok tersebut akan tetap berada dalam jaringan korban untuk jangka waktu yang lama, berkisar antara dua dan enam bulan.

Aktor ancaman menggunakan berbagai skrip PowerShell yang menurut Group-IB dapat dianggap sebagai kerangka kerja, dan yang mencakup, selain dropper awal, FirstStageAgent (disebut FSA) dan dua submodul. Kode biner digunakan seminimal mungkin, para peneliti menemukan.

Menurut peneliti, serangan RedCurl tampaknya merupakan kelanjutan dari kampanye RedOctober dan CloudAtlas yang telah dianalisis sebelumnya, tetapi, terlepas dari beberapa kesamaan, tautan antara kampanye ini tidak dapat dikonfirmasi saat ini, catat para peneliti.

“Sebagai elemen persaingan tidak sehat, spionase perusahaan adalah fenomena yang relatif langka di dunia peretas APT,” kata Rustam Mirkasymov, kepala Tim Analisis Dinamis Malware di Grup-IB.

“Isi dokumen dan catatan korban bisa jadi jauh lebih berharga daripada isi dompet mereka sendiri. Meski tidak ada kerugian finansial langsung, yang merupakan tipikal kelompok penjahat dunia maya yang bermotivasi finansial, konsekuensi dari spionase dapat mencapai puluhan juta dolar,” ia menambahkan.

Redaktur: Andi Nugroho