Symantec Temukan Ancaman Baru dari Kelompok Serangan Spionase Siber MuddyWater/Seedworm.

 

Beberin.com, JAKARTA – Peneliti Symantec telah menemukan informasi penting terkait sebuah kelompok spionase siber yang merupakan dalang di balik serangkaian serangan siber terkini yang dirancang untuk mengumpulkan intelijen tentang setiap target yang tersebar terutama di wilayah Timur Tengah, serta di Eropa dan Amerika Utara.

Kelompok ini, yang kami sebut Seedworm (alias MuddyWater), telah beroperasi setidaknya sejak tahun 2017, di mana aktivitas terbarunya terdeteksi di bulan Desember 2018.

Para analis di tim DeepSight Managed Adversary dan Threat Intelligence(MATI) kami telah menemukan backdoor baru, Backdoor.Powemuddy, yang merupakan varian baru backdoor Powermud (alias POWERSTATS) dari Seedworm, yaitu repositori GitHub yang digunakan oleh kelompok ini untuk menyimpan skrip mereka, serta beberapa tool pascainfiltrasi yang digunakan oleh kelompok ini untuk mengeksploitasi korban setelah mereka berhasil membuat pijakan di jaringan mereka.
Melacak Jejak Sebuah Serangan

Pada bulan September 2018, kami menemukan bukti serangan Seedworm dan kelompok spionase APT28 (alias Swallowtail, Fancy Bear), pada sebuah komputer milik kantor kedutaan Brazil di sebuah negara penghasil minyak. Melihat dua kelompok penyerang yang aktif tersebut menggelitik minat kami, dan ketika kami mulai menelusurinya, kami menemukan lebih banyak petunjuk yang mendorong kami untuk mengungkap informasi baru tentang Seedworm.

Kami tidak hanya menemukan titik masuk awal, tetapi kami dapat mengikuti aktivitas lanjutan Seedworm setelah infeksi awal karena Symantec memiliki akses terhadap telemetri yang luas melalui Global Intelligence Network. Berkat visibilitas unik ini, para analis kami dapat melacak pergerakan yang dilakukan oleh Seedworm setelah grup penyerang ini berhasil masuk ke jaringan. Kami menemukan varian baru backdoor Powermud, sebuah backdoor baru (Backdoor.Powemuddy), dan tool khusus untuk mencuri kata sandi, membuat reverse shell, eskalasi hak istimewa, serta penggunaan tool pembuatan cabinet Windows native, makecab.exe, yang mungkin digunakan untuk mengkompresi data yang dicuri agar dapat diunggah. Pelanggan DeepSight MATI dapat memanfaatkan informasi bermanfaat ini untuk memberantas ancaman siber.

Motivasi-motivasi di balik serangan Seedworm sangat mirip dengan motivasi dari kebanyakan kelompok spionase siber yang kami amati. Mereka berusaha untuk mendapatkan informasi yang dapat ditindaklanjuti tentang perusahaan dan individu yang menjadi target. Mereka mampu melakukan ini dengan mengutamakan kecepatan dan kelincahan dibandingkan keamanan operasional, yang akhirnya memampukan kami untuk mengidentifikasi infrastruktur operasional utama mereka.
Taktik dan Tool

Seedworm kemungkinan bergerak sebagai kelompok spionase siber untuk memperoleh intelijen yang dapat ditindaklanjuti yang dapat menguntungkan kepentingan sponsor mereka. Selama operasi mereka, kelompok tersebut menggunakan tool yang konsisten dengan tool yang digunakan dalam serangan-serangan di masa lalu, termasuk Powermud, tool khusus yang digunakan oleh kelompok Seedworm, dan skrip khusus PowerShell, LaZagne, dan Crackmapexec.

Kelompok Seedworm mengendalikan backdoor Powermud dari belakang jaringan proxy untuk menyembunyikan lokasi command-and-control (C&C) utama. Kelompok Seedworm adalah satu-satunya kelompok yang diketahui menggunakan backdoor Powermud.

Setelah menginfeksi sebuah sistem, biasanya dengan menginstal Powermud atau Powemuddy, Seedworm pertama-tama menjalankan tool yang dapat mencuri kata sandi yang disimpan di browser web dan email pengguna, yang menunjukkan bahwa akses ke email, media sosial, dan akun chat korban merupakan salah satu tujuan mereka. Seedworm kemudian menggunakan tool open source seperti LaZagne dan Crackmapexec untuk mendapatkan kredensial otorisasi Windows. Seedworm menggunakan versi off-the-shelfyang tidak dimodifikasi dari tool ini, serta varian yang dikompilasi secara khusus yang kami yakini hanya digunakan oleh kelompok ini.
Perubahan Taktik

Sejak keberadaannya pertama kali terungkap, kami melihat Seedworm memodifikasi cara kerja kelompok. Sejak awal tahun 2017, mereka terus memperbarui backdoor Powermud mereka dan tool-tool lain untuk menghindari deteksi dan untuk menggagalkan para peneliti keamanan yang hendak menganalisis tool-tool tersebut. Mereka juga menggunakan GitHub untuk menyimpan malware dan beberapa tool yang tersedia untuk umum, yang kemudian mereka sesuaikan untuk meluncurkan serangan mereka.

Kami telah mengidentifikasi beberapa akun daring yang kemungkinan terkait dengan aktor di balik operasi Seedworm. Temuan pertama adalah repositori Github publik yang berisi skrip yang sangat cocok dengan yang teramati dalam operasi Seedworm. Tautan tambahan kemudian dibuat ke sebuah akun Twitter dengan data profil yang serupa. Akun Twitter ini mengikuti banyak peneliti keamanan, termasuk mereka yang telah menulis tentang kelompok ini di masa lalu, serta pengembang yang menulis tool open source yang mereka gunakan.

Akun-akun ini kemungkinan dikendalikan oleh kelompok Seedworm. Repositori Github berisi skrip PowerShell yang telah dijalankan pada aktivitas host korban yang dikaitkan dengan Seedworm. Terdapat banyak juga perintah Crackmapexec PowerShell yang cocok dengan aktivitas host korban.

Memilih untuk mengandalkan tool yang tersedia untuk umum memungkinkan Seedworm untuk memperbarui operasi mereka dengan cepat menggunakan kode yang ditulis oleh orang lain dan hanya melakukan penyesuaian kecil. Dan mereka tampaknya mengadopsi beberapa tool yang paling efektif dan andal, yang beberapa di antaranya, untuk alasan ini, juga digunakan oleh organisasi red team.
Sasaran dan Kisaran Waktu

Kami menganalisis data dari 131 korban yang diserang oleh backdoorPowermud Seedworm mulai dari akhir September hingga pertengahan November 2018.

Para korban dari serangan Seedworm yang berhasil diamati terutama berlokasi di Pakistan dan Turki, serta terdapat juga di Rusia, Arab Saudi, Afghanistan, Yordania, dan lainnya. Selain itu, kelompok tersebut juga menginfeksi perusahaan di Eropa dan Amerika Utara yang memiliki hubungan dengan Timur Tengah.

Selain itu, berdasarkan analisis yang kami lakukan terhadap korban Powermud, kami dapat mengidentifikasi beberapa sektor industri yang mungkin menjadi sasaran serangan sebanyak 80 dari 131 korban. Sektor telekomunikasi dan layanan TI adalah target utama. Entitas di sektor ini seringkali merupakan “korban yang membuka peluang bagi korban baru” karena penyedia layanan telekomunikasi atau agen dan vendor layanan IT dapat memberikan para aktor di balik serangan Seedworm korban-korban lain yang dapat diinfeksi. Keberhasilan dalam menyusupi dua industri ini memberikan petunjuk tambahan tentang kecanggihan dan keterampilan dari kelompok Seedworm.

Kelompok korban yang paling umum berikutnya berasal dari sektor pertambangan (minyak dan gas). Sebanyak 11 korban dalam kelompok ini merupakan milik satu perusahaan Rusia yang aktif di Timur Tengah. Hanya satu dari 11 korban ini yang secara fisik berada di Rusia; sisanya tersebar di Amerika Utara, Timur Tengah, Afrika, dan Asia.

Universitas dan kedutaan adalah target paling umum berikutnya. Universitas-universitas tersebut berada di Timur Tengah dan kantor-kantor kedutaan besar tersebut terutama berada di Eropa dan mewakili negara-negara Timur Tengah. Dua organisasi nonpemerintah (LSM) besar juga disusupi. Kami mengidentifikasi tujuh korban yang bekerja di organisasi-organisasi kesehatan masyarakat global ini.

Symantec telah menyampaikan notifikasi kepada para mitra di sektor publik dan swasta terkait target serangan, tool, dan teknik terbaru dari kelompok Seedworm.

Perlindungan

Perlindungan berikut tersedia guna melindungi pelanggan dari serangan Seedworm:

Perlindungan Berbasis File

Perlindungan Berbasis Jaringan

Indikator Infeksi Serangan

Indikator berikut adalah khusus untuk Seedworm:

Jaringan

104.237.233.60 IP used for reverse shell C&C

78.129.222.56 Powemuddy/Powermud delivery IP

78.129.139.148 Powemuddy C&C

31.171.154.67 Powemuddy C&C

46.99.148.96 former Powemudddy C&C

79.106.224.203 Powemuddy C&C

185.34.16.82 Powemuddy C&C

Nama File

f5dee1f9cd47dc7bae468da9732c862e lisfonservice.exe Powemuddy/Powermud
2ae299e3693518104bf194d6257d5be6 lisfonservice.exe Powemuddy/Powermud
54982c616098f6c6fbc48703922f15f4 Lisfon.exe Powemuddy/Powermud
fa200e715e856550c76f729604ebaf57 lisfon.exe Powemuddy/Powermud
e75443a5e825f69c75380b6dc76c6b50 TestService.exe Powemuddy/Powermud
8e3a42371d7af2c7d0bb4036c9fb0fe3 LisfonService.exe Powemuddy/Powermud
f041f96ed1abdcc84157488aa51b62af Win7LisfonService.exe Powemuddy/Powermud
e6e7661efb60b9aea7969a30e17ace19 svchosts.exe Powemuddy
a750e2885ed3c294de148864723f73e3 svchosts.exe Powemuddy
e2ed0be977ab9e50055337ec8eb0ddf4 la.exe LaZagne
989e9dcc2182e2b5903b9acea03be11d cr.exe Crackmapexec
488723b8e56dbaac8ccdc79499037d5f dopass.exe

dodo.exe

Browser credential theft tool
837eaad1187fe9fbf91f9bc7c054f5d9 dopass.exe Browser credential theft tool
ddba713c20c232bcd60daf0ffabeffb8 nt.exe

rc.exe

Browser credential theft tool
8e94d1cb1ec6ea5b2c29353eb7bb5787 nt.exe

rc.exe

Browser credential theft tool
f8902df9fe49a04f101d0bfb41a33028 losi.exe Browser credential theft tool
9bea3eb68ea0c215a17fa69f632d9020 gg.exe

dadi.exe

losi.exe

Browser credential theft tool
35c310a1f88e41e777bc2ac4bc5284d9 osport.exe Reverse shell