Begini Cara Iran Memata-matai dengan Bantuan Peretas - Pe Jung Labs

Begini Cara Iran Memata-matai dengan Bantuan Peretas

Operasi dunia maya kembar yang dilakukan oleh aktor ancaman Iran yang disponsori negara menunjukkan fokus mereka yang berkelanjutan dalam menyusun berkas terperinci tentang warga Iran yang dapat mengancam stabilitas Republik Islam, termasuk pembangkang, pasukan oposisi, pendukung ISIS, dan penduduk asli Kurdi.

Menelusuri operasi spionase ekstensif ke dua kelompok siber Iran yang canggih, Domestic Kitten (atau APT-C-50) dan Infy, firma keamanan siber Check Point mengungkapkan bukti baru dan terkini dari aktivitas mereka yang sedang berlangsung yang melibatkan penggunaan perangkat perangkat lunak perusak yang dirubah serta menipu tanpa disadari pengguna agar mengunduh perangkat lunak berbahaya dengan kedok aplikasi populer.

“Kedua kelompok telah melakukan serangan siber jangka panjang dan kampanye pengawasan yang mengganggu yang menargetkan perangkat seluler dan komputer pribadi individu,” kata peneliti Check Point dalam analisis baru. “Operator dari kampanye ini jelas aktif, responsif dan terus mencari vektor dan teknik serangan baru untuk memastikan kelangsungan operasi mereka.”

Meskipun terjadi tumpang tindih antara korban dan jenis informasi yang dikumpulkan, kedua pelaku ancaman tersebut dianggap beroperasi secara independen satu sama lain. Tetapi “efek sinergis” yang diciptakan dengan menggunakan dua set vektor serangan yang berbeda untuk menyerang target yang sama tidak dapat diabaikan, kata para peneliti.

Domestic Kitten Meniru Aplikasi Restoran Teheran

Domestic Kitten, yang telah aktif sejak 2016, diketahui menargetkan kelompok individu tertentu dengan aplikasi Android berbahaya yang mengumpulkan informasi sensitif seperti pesan SMS, log panggilan, foto, video, dan data lokasi di perangkat bersama dengan rekaman suaranya.

Melihat empat kampanye aktif, yang terbaru dimulai pada November 2020 menurut Check Point, aktor APT-C-50 telah ditemukan memanfaatkan berbagai macam aplikasi sampul, termasuk VIPRE Mobile Security (aplikasi keamanan seluler palsu), Exotic Flowers (varian game yang dikemas ulang tersedia di Google Play), dan Iranian Woman Ninja (aplikasi wallpaper), untuk mendistribusikan malware bernama FurBall.

Operasi November terbaru juga demikian, yang memanfaatkan aplikasi palsu untuk Mohsen Restaurant yang terletak di Teheran untuk mencapai tujuan yang sama dengan memikat korban agar menginstal aplikasi dengan banyak vektor – pesan SMS dengan tautan untuk mengunduh malware, blog Iran yang menghosting muatan, dan bahkan dibagikan melalui saluran Telegram.

Target utama serangan itu termasuk 1.200 orang yang berada di Iran, AS, Inggris Raya, Pakistan, Afghanistan, Turki, dan Uzbekistan, kata para peneliti, dengan lebih dari 600 infeksi yang berhasil dilaporkan.

Setelah diinstal, FurBall memberikan izin luas untuk dirinya sendiri untuk mengeksekusi aplikasi setiap kali secara otomatis saat perangkat dimulai dan mulai mengumpulkan riwayat browser, informasi perangkat keras, file pada kartu SD eksternal, dan secara berkala mengekstrak video, foto, dan catatan panggilan setiap 20 detik.

Ini juga memonitor konten clipboard, mendapatkan akses ke semua notifikasi yang diterima oleh perangkat, dan dilengkapi dengan kemampuan untuk menjalankan perintah dari jarak jauh yang dikeluarkan dari server command-and-control (C2) untuk merekam audio, video, dan panggilan telepon.

Menariknya, FurBall tampaknya didasarkan pada Spyware yang tersedia secara komersial yang disebut KidLogger, yang menyiratkan para aktor “baik memperoleh kode sumber KidLogger, atau merekayasa ulang sampel dan menghapus semua bagian yang tidak terkait, kemudian menambahkan lebih banyak kemampuan.”

Infy ​​Kembali Dengan Malware Tahap Kedua Baru, Sebelumnya Tidak Diketahui

Pertama kali ditemukan pada Mei 2016 oleh Palo Alto Networks, aktivitas baru Infy (juga disebut Prince of Persia) pada April 2020 menandai kelanjutan dari operasi dunia maya kelompok tersebut yang telah menargetkan para pembangkang Iran dan lembaga diplomatik di seluruh Eropa selama lebih dari satu dekade.

YouTube video

Sementara upaya pengawasan mereka terpukul pada Juni 2016 menyusul operasi penghapusan oleh Palo Alto Networks untuk menenggelamkan infrastruktur C2 grup, Infy muncul kembali pada Agustus 2017 dengan teknik anti-pengambilalihan bersama pencuri info Windows baru bernama Foudre.

Grup tersebut juga disarankan untuk memiliki hubungan dengan Perusahaan Telekomunikasi Iran setelah peneliti Claudio Guarnieri dan Collin Anderson mengungkapkan bukti pada Juli 2016 bahwa sebagian dari domain C2 yang dialihkan ke lubang pembuangan diblokir oleh gangguan DNS dan penyaringan HTTP, sehingga mencegah akses ke lubang pembuangan.

Kemudian pada tahun 2018, Intezer Labs menemukan versi baru malware Foudre, yang disebut versi 8, yang juga berisi “biner tidak dikenal” – sekarang dinamai Tonnerre oleh Check Point yang digunakan untuk memperluas kemampuan malware sebelumnya.

“Tampaknya setelah downtime yang lama, penyerang dunia maya Iran dapat berkumpul kembali, memperbaiki masalah sebelumnya dan secara dramatis memperkuat aktivitas OPSEC mereka serta kemampuan teknis dan kemampuan alat mereka,” kata para peneliti.

Sebanyak tiga versi Foudre (20-22) telah ditemukan sejak April 2020, dengan varian baru mengunduh Tonnerre 11 sebagai muatan tahap berikutnya.

Rantai serangan dimulai dengan mengirimkan email phishing yang berisi dokumen iming-iming yang ditulis dalam bahasa Persia, yang ketika ditutup, menjalankan makro jahat yang menjatuhkan dan menjalankan pintu belakang Foudre, yang kemudian terhubung ke server C2 untuk mengunduh implan Tonnerre.

Selain menjalankan perintah dari server C2, merekam suara, dan menangkap tangkapan layar, yang membuat Tonnerre menonjol adalah penggunaan dua set server C2 – satu untuk menerima perintah dan mengunduh pembaruan menggunakan HTTP dan server kedua tempat data yang dicuri dieksfiltrasi melalui FTP.

Pada 56MB, ukuran Tonnerre yang tidak biasa juga cenderung bekerja untuk mendukungnya dan menghindari deteksi karena banyak vendor mengabaikan file besar selama pemindaian malware, catat para peneliti.

Namun, tidak seperti Domestic Kitten, hanya beberapa lusin korban yang ditemukan menjadi sasaran dalam serangan ini, termasuk yang berasal dari Irak, Azerbaijan, Inggris, Rusia, Rumania, Jerman, Kanada, Turki, AS, Belanda, dan Swedia.

“Operator dari kampanye spionase dunia maya Iran ini tampaknya sama sekali tidak terpengaruh oleh tindakan balasan apa pun yang dilakukan oleh orang lain, meskipun mereka terungkap dan bahkan dihentikan di masa lalu – mereka tidak berhenti,” kata Yaniv Balmas, kepala dunia maya. penelitian di Check Point.

“Operator kampanye ini hanya belajar dari masa lalu, memodifikasi taktik mereka, dan terus menunggu beberapa saat hingga badai berlalu untuk hanya melakukannya lagi. Selain itu, perlu dicatat betapa banyaknya sumber daya yang diinginkan oleh rezim Iran. untuk dihabiskan untuk mengerahkan kendali mereka.”