Hari ini, cybersecurity peneliti menjelaskan Iran kampanye spionase cyber yang ditujukan terhadap infrastruktur kritis di Kuwait dan Arab Saudi.
Bitdefender mengatakan pengumpulan intelijen operasi yang dilakukan oleh Chafer APT (juga dikenal sebagai APT39 atau Remix Kucing), ancaman aktor terkenal karena serangan terhadap telekomunikasi dan industri perjalanan di Timur Tengah untuk mengumpulkan informasi pribadi yang berfungsi negara kepentingan geopolitik.
“Korban dianalisis kampanye masuk ke dalam pola disukai oleh aktor ini, seperti transportasi udara dan sektor pemerintah di Timur Tengah,” kata para peneliti dalam laporan (PDF) bersama dengan The Hacker News, menambahkan setidaknya satu serangan pergi belum ditemukan selama lebih dari satu setengah tahun sejak 2018.
“Kampanye didasarkan pada beberapa alat, termasuk ‘hidup dari tanah’ alat-alat, yang membuat atribusi sulit, serta berbagai alat-alat hacking dan custom-built backdoor.”
Dikenal aktif sejak tahun 2014, Chafer APT sebelumnya telah diambil bertujuan pemerintah turki organisasi dan diplomatik asing entitas yang berbasis di Iran dengan tujuan exfiltrating data sensitif.
Sebuah FireEye melaporkan tahun lalu ditambahkan untuk tumbuh bukti Chafer fokus pada telekomunikasi dan industri perjalanan. “Perusahaan telekomunikasi yang menarik target mengingat bahwa mereka menyimpan sejumlah besar informasi pribadi dan informasi pelanggan, memberikan akses ke infrastruktur penting yang digunakan untuk komunikasi, dan memungkinkan akses ke sejumlah target potensial di beberapa sektor,” kata perusahaan itu.
APT39 mengganggu target melalui spear-phishing email dengan lampiran berbahaya dan menggunakan berbagai backdoor alat untuk mendapatkan pijakan, mengangkat hak-hak mereka, melakukan internal pengintaian, dan membangun ketekunan dalam korban lingkungan.
Apa yang membuat Kuwait menyerang lebih rumit, menurut Bitdefender, adalah kemampuan mereka untuk membuat account pengguna pada korban’ mesin dan melakukan tindakan berbahaya di dalam jaringan, termasuk jaringan pemindaian (CrackMapExec), credential panen (Mimikatz), dan bergerak lateral dalam jaringan yang menggunakan senjata macam alat yang mereka miliki.
Sebagian besar aktivitas terjadi pada hari jumat dan sabtu, yang bertepatan dengan akhir pekan di Timur Tengah, kata para peneliti.
Serangan terhadap arab Saudi badan, di sisi lain, melibatkan penggunaan teknik rekayasa sosial untuk mengelabui korban dalam menjalankan remote administration tool (RAT), dengan beberapa komponen yang berbagi kesamaan dengan orang-orang yang digunakan untuk melawan Kuwait dan Turki.
“Sementara serangan ini tidak begitu luas seperti yang ada di Kuwait, beberapa bukti forensik menunjukkan bahwa sama penyerang mungkin telah diatur itu,” kata para peneliti. “Meskipun bukti untuk penemuan jaringan, kami tidak mampu menemukan jejak apapun untuk gerakan lateral, paling mungkin karena ancaman pelaku tidak dapat menemukan apapun rentan mesin.”
Serangan terhadap Kuwait dan Arab Saudi adalah pengingat bahwa Iran cyber spionase upaya telah menunjukkan tidak ada tanda-tanda melambat. Mengingat pentingnya industri yang terlibat, Chafer tindakan melanjutkan tren mencolok negara-negara yang bertindak terhadap nasional ambisi.
“Sementara yang kedua adalah sebagian besar serangan baru-baru ini contoh yang terjadi di Timur Tengah, hal ini penting untuk memahami bahwa jenis serangan bisa terjadi di mana saja di dunia, dan infrastruktur kritis seperti pemerintah dan transportasi udara tetap sangat sensitif target,” Bitdefender mengatakan.
