Beberin.com, JAKARTA – Peneliti Symantec telah menemukan informasi penting terkait sebuah kelompok spionase siber yang merupakan dalang di balik serangkaian serangan siber terkini yang dirancang untuk mengumpulkan intelijen tentang setiap target yang tersebar terutama di wilayah Timur Tengah, serta di Eropa dan Amerika Utara.
Kelompok ini, yang kami sebut Seedworm (alias MuddyWater), telah beroperasi setidaknya sejak tahun 2017, di mana aktivitas terbarunya terdeteksi di bulan Desember 2018.
Para analis di tim DeepSight Managed Adversary dan Threat Intelligence(MATI) kami telah menemukan backdoor baru, Backdoor.Powemuddy, yang merupakan varian baru backdoor Powermud (alias POWERSTATS) dari Seedworm, yaitu repositori GitHub yang digunakan oleh kelompok ini untuk menyimpan skrip mereka, serta beberapa tool pascainfiltrasi yang digunakan oleh kelompok ini untuk mengeksploitasi korban setelah mereka berhasil membuat pijakan di jaringan mereka.
Melacak Jejak Sebuah Serangan
Pada bulan September 2018, kami menemukan bukti serangan Seedworm dan kelompok spionase APT28 (alias Swallowtail, Fancy Bear), pada sebuah komputer milik kantor kedutaan Brazil di sebuah negara penghasil minyak. Melihat dua kelompok penyerang yang aktif tersebut menggelitik minat kami, dan ketika kami mulai menelusurinya, kami menemukan lebih banyak petunjuk yang mendorong kami untuk mengungkap informasi baru tentang Seedworm.
Kami tidak hanya menemukan titik masuk awal, tetapi kami dapat mengikuti aktivitas lanjutan Seedworm setelah infeksi awal karena Symantec memiliki akses terhadap telemetri yang luas melalui Global Intelligence Network. Berkat visibilitas unik ini, para analis kami dapat melacak pergerakan yang dilakukan oleh Seedworm setelah grup penyerang ini berhasil masuk ke jaringan. Kami menemukan varian baru backdoor Powermud, sebuah backdoor baru (Backdoor.Powemuddy), dan tool khusus untuk mencuri kata sandi, membuat reverse shell, eskalasi hak istimewa, serta penggunaan tool pembuatan cabinet Windows native, makecab.exe, yang mungkin digunakan untuk mengkompresi data yang dicuri agar dapat diunggah. Pelanggan DeepSight MATI dapat memanfaatkan informasi bermanfaat ini untuk memberantas ancaman siber.
Motivasi-motivasi di balik serangan Seedworm sangat mirip dengan motivasi dari kebanyakan kelompok spionase siber yang kami amati. Mereka berusaha untuk mendapatkan informasi yang dapat ditindaklanjuti tentang perusahaan dan individu yang menjadi target. Mereka mampu melakukan ini dengan mengutamakan kecepatan dan kelincahan dibandingkan keamanan operasional, yang akhirnya memampukan kami untuk mengidentifikasi infrastruktur operasional utama mereka.
Taktik dan Tool
Seedworm kemungkinan bergerak sebagai kelompok spionase siber untuk memperoleh intelijen yang dapat ditindaklanjuti yang dapat menguntungkan kepentingan sponsor mereka. Selama operasi mereka, kelompok tersebut menggunakan tool yang konsisten dengan tool yang digunakan dalam serangan-serangan di masa lalu, termasuk Powermud, tool khusus yang digunakan oleh kelompok Seedworm, dan skrip khusus PowerShell, LaZagne, dan Crackmapexec.
Kelompok Seedworm mengendalikan backdoor Powermud dari belakang jaringan proxy untuk menyembunyikan lokasi command-and-control (C&C) utama. Kelompok Seedworm adalah satu-satunya kelompok yang diketahui menggunakan backdoor Powermud.
Setelah menginfeksi sebuah sistem, biasanya dengan menginstal Powermud atau Powemuddy, Seedworm pertama-tama menjalankan tool yang dapat mencuri kata sandi yang disimpan di browser web dan email pengguna, yang menunjukkan bahwa akses ke email, media sosial, dan akun chat korban merupakan salah satu tujuan mereka. Seedworm kemudian menggunakan tool open source seperti LaZagne dan Crackmapexec untuk mendapatkan kredensial otorisasi Windows. Seedworm menggunakan versi off-the-shelfyang tidak dimodifikasi dari tool ini, serta varian yang dikompilasi secara khusus yang kami yakini hanya digunakan oleh kelompok ini.
Perubahan Taktik
Sejak keberadaannya pertama kali terungkap, kami melihat Seedworm memodifikasi cara kerja kelompok. Sejak awal tahun 2017, mereka terus memperbarui backdoor Powermud mereka dan tool-tool lain untuk menghindari deteksi dan untuk menggagalkan para peneliti keamanan yang hendak menganalisis tool-tool tersebut. Mereka juga menggunakan GitHub untuk menyimpan malware dan beberapa tool yang tersedia untuk umum, yang kemudian mereka sesuaikan untuk meluncurkan serangan mereka.
Kami telah mengidentifikasi beberapa akun daring yang kemungkinan terkait dengan aktor di balik operasi Seedworm. Temuan pertama adalah repositori Github publik yang berisi skrip yang sangat cocok dengan yang teramati dalam operasi Seedworm. Tautan tambahan kemudian dibuat ke sebuah akun Twitter dengan data profil yang serupa. Akun Twitter ini mengikuti banyak peneliti keamanan, termasuk mereka yang telah menulis tentang kelompok ini di masa lalu, serta pengembang yang menulis tool open source yang mereka gunakan.
Akun-akun ini kemungkinan dikendalikan oleh kelompok Seedworm. Repositori Github berisi skrip PowerShell yang telah dijalankan pada aktivitas host korban yang dikaitkan dengan Seedworm. Terdapat banyak juga perintah Crackmapexec PowerShell yang cocok dengan aktivitas host korban.
Memilih untuk mengandalkan tool yang tersedia untuk umum memungkinkan Seedworm untuk memperbarui operasi mereka dengan cepat menggunakan kode yang ditulis oleh orang lain dan hanya melakukan penyesuaian kecil. Dan mereka tampaknya mengadopsi beberapa tool yang paling efektif dan andal, yang beberapa di antaranya, untuk alasan ini, juga digunakan oleh organisasi red team.
Sasaran dan Kisaran Waktu
Kami menganalisis data dari 131 korban yang diserang oleh backdoorPowermud Seedworm mulai dari akhir September hingga pertengahan November 2018.
Para korban dari serangan Seedworm yang berhasil diamati terutama berlokasi di Pakistan dan Turki, serta terdapat juga di Rusia, Arab Saudi, Afghanistan, Yordania, dan lainnya. Selain itu, kelompok tersebut juga menginfeksi perusahaan di Eropa dan Amerika Utara yang memiliki hubungan dengan Timur Tengah.
Selain itu, berdasarkan analisis yang kami lakukan terhadap korban Powermud, kami dapat mengidentifikasi beberapa sektor industri yang mungkin menjadi sasaran serangan sebanyak 80 dari 131 korban. Sektor telekomunikasi dan layanan TI adalah target utama. Entitas di sektor ini seringkali merupakan “korban yang membuka peluang bagi korban baru” karena penyedia layanan telekomunikasi atau agen dan vendor layanan IT dapat memberikan para aktor di balik serangan Seedworm korban-korban lain yang dapat diinfeksi. Keberhasilan dalam menyusupi dua industri ini memberikan petunjuk tambahan tentang kecanggihan dan keterampilan dari kelompok Seedworm.
Kelompok korban yang paling umum berikutnya berasal dari sektor pertambangan (minyak dan gas). Sebanyak 11 korban dalam kelompok ini merupakan milik satu perusahaan Rusia yang aktif di Timur Tengah. Hanya satu dari 11 korban ini yang secara fisik berada di Rusia; sisanya tersebar di Amerika Utara, Timur Tengah, Afrika, dan Asia.
Universitas dan kedutaan adalah target paling umum berikutnya. Universitas-universitas tersebut berada di Timur Tengah dan kantor-kantor kedutaan besar tersebut terutama berada di Eropa dan mewakili negara-negara Timur Tengah. Dua organisasi nonpemerintah (LSM) besar juga disusupi. Kami mengidentifikasi tujuh korban yang bekerja di organisasi-organisasi kesehatan masyarakat global ini.
Symantec telah menyampaikan notifikasi kepada para mitra di sektor publik dan swasta terkait target serangan, tool, dan teknik terbaru dari kelompok Seedworm.
Perlindungan
Perlindungan berikut tersedia guna melindungi pelanggan dari serangan Seedworm:
Perlindungan Berbasis File
Perlindungan Berbasis Jaringan
Indikator Infeksi Serangan
Indikator berikut adalah khusus untuk Seedworm:
Jaringan
104.237.233.60 IP used for reverse shell C&C
78.129.222.56 Powemuddy/Powermud delivery IP
78.129.139.148 Powemuddy C&C
31.171.154.67 Powemuddy C&C
46.99.148.96 former Powemudddy C&C
79.106.224.203 Powemuddy C&C
185.34.16.82 Powemuddy C&C
Nama File
f5dee1f9cd47dc7bae468da9732c862e | lisfonservice.exe | Powemuddy/Powermud |
2ae299e3693518104bf194d6257d5be6 | lisfonservice.exe | Powemuddy/Powermud |
54982c616098f6c6fbc48703922f15f4 | Lisfon.exe | Powemuddy/Powermud |
fa200e715e856550c76f729604ebaf57 | lisfon.exe | Powemuddy/Powermud |
e75443a5e825f69c75380b6dc76c6b50 | TestService.exe | Powemuddy/Powermud |
8e3a42371d7af2c7d0bb4036c9fb0fe3 | LisfonService.exe | Powemuddy/Powermud |
f041f96ed1abdcc84157488aa51b62af | Win7LisfonService.exe | Powemuddy/Powermud |
e6e7661efb60b9aea7969a30e17ace19 | svchosts.exe | Powemuddy |
a750e2885ed3c294de148864723f73e3 | svchosts.exe | Powemuddy |
e2ed0be977ab9e50055337ec8eb0ddf4 | la.exe | LaZagne |
989e9dcc2182e2b5903b9acea03be11d | cr.exe | Crackmapexec |
488723b8e56dbaac8ccdc79499037d5f | dopass.exe
dodo.exe |
Browser credential theft tool |
837eaad1187fe9fbf91f9bc7c054f5d9 | dopass.exe | Browser credential theft tool |
ddba713c20c232bcd60daf0ffabeffb8 | nt.exe
rc.exe |
Browser credential theft tool |
8e94d1cb1ec6ea5b2c29353eb7bb5787 | nt.exe
rc.exe |
Browser credential theft tool |
f8902df9fe49a04f101d0bfb41a33028 | losi.exe | Browser credential theft tool |
9bea3eb68ea0c215a17fa69f632d9020 | gg.exe
dadi.exe losi.exe |
Browser credential theft tool |
35c310a1f88e41e777bc2ac4bc5284d9 | osport.exe | Reverse shell |
Leave a Reply