APT Iran Kirim Malware Baru Lewat API Telegram

APT Iran Kirim Malware Lewat API Telegram - Pada bulan November 2021, seorang pelaku ancaman keamanan geopolitik dari Iran telah terdeteksi memasang dua malware baru dengan fitur backdoor "dasar" sebagai bagian dari serangan terhadap lembaga pemerintah di Timur Tengah yang belum diidentifikasi.

Mandiant, perusahaan keamanan siber, mengklasifikasikan serangan ini sebagai klaster yang belum dikategorikan dan memberinya nama samaran UNC3313. Kelompok ini diduga memiliki afiliasi dengan organisasi yang disponsori negara, MuddyWater, dengan tingkat "kepercayaan moderat."

Menurut akademisi Ryan Tomcik, Emiel Haeghebaert, dan Tufail Ahmed, "UNC3313 melakukan pengawasan dan mengumpulkan intelijen strategis untuk mendukung tujuan dan pengambilan keputusan Iran." Mereka menyoroti pola penargetan dan umpan yang menunjukkan fokus yang signifikan pada tujuan geopolitik.

MuddyWater, yang juga dikenal dengan sebutan Static Kitten, Seedworm, TEMP. Zagros, atau Mercury, diidentifikasi oleh badan intelijen AS pada pertengahan Januari 2022 sebagai bagian dari Ministry of Intelligence and Security (MOIS). Kelompok ini telah aktif setidaknya sejak 2018 dan dikenal menggunakan berbagai alat dan teknik dalam operasinya.

Serangan dilaporkan dimulai dengan spear phishing untuk mendapatkan akses awal, diikuti oleh penggunaan alat keamanan ofensif yang dapat diakses publik dan perangkat lunak akses jarak jauh untuk gerakan lateral dan akses ke lingkungan.

Analisa Serangan MuddyWater

Email phishing dirancang untuk memikat korban agar mengklik URL untuk mengunduh file arsip RAR yang terletak di OneHub, membuka pintu untuk pemasangan ScreenConnect, sebuah program akses jarak jauh yang sah, guna mendapatkan pijakan.

"UNC3313 bekerja cepat untuk mendapatkan akses jarak jauh dengan menyusup ke komputer menggunakan ScreenConnect dalam waktu satu jam setelah pelanggaran pertama," kata para peneliti, menambahkan bahwa masalah keamanan segera diisolasi dan diselesaikan.

Serangan berkembang dengan meningkatkan hak istimewa, melakukan pengintaian internal pada jaringan yang ditargetkan, dan menjalankan perintah PowerShell yang dikaburkan untuk mengunduh lebih banyak alat dan muatan di komputer yang jauh.

Backdoor yang sebelumnya tidak diketahui, dikenal sebagai STARWHALE, File Skrip Windows (. WSF) yang mengeksekusi perintah melalui HTTP dari server command-and-control (C2) yang tertanam, juga telah ditemukan.

Selama serangan, implan lain yang digunakan disebut GRAMDOOR, karena menggunakan API Telegram untuk komunikasi jaringan dengan server yang dikendalikan oleh penyerang, dengan tujuan menghindari deteksi. Hal ini sekali lagi menyoroti penggunaan alat komunikasi untuk memfasilitasi eksfiltrasi data.

Temuan ini juga sejalan dengan tuduhan baru-baru ini dari otoritas keamanan sber di Inggris dan Amerika Serikat, yang menuduh organisasi MuddyWater melakukan serangan spionase global terhadap industri pertahanan, pemerintah daerah, minyak dan gas alam, serta telekomunikasi.