
Kelompok ancaman persisten tingkat lanjut terbesar di Rusia telah melakukan phishing terhadap ribuan target di kalangan militer, otoritas publik, dan perusahaan.
APT29 (alias Midnight Blizzard, Nobelium, Cozy Bear) bisa dibilang adalah aktor ancaman paling terkenal di dunia. Merupakan bagian dari Badan Intelijen Luar Negeri (SVR) Federasi Rusia, yang terkenal karena pelanggaran bersejarahnya Angin Surya dan itu Komite Nasional Demokrat (DNC). Akhir-akhir ini, hal itu telah dilanggar Basis kode Microsoft dan target politik di seluruh dunia Eropa, Afrika, dan sekitarnya.
“APT29 mewujudkan bagian 'persisten' dari 'ancaman terus-menerus tingkat lanjut',” kata Satnam Narang, staf insinyur riset senior di Tenable. “Mereka terus-menerus menargetkan organisasi-organisasi di Amerika Serikat dan Eropa selama bertahun-tahun, memanfaatkan berbagai teknik, termasuk spear-phishing dan eksploitasi kerentanan untuk mendapatkan akses awal dan meningkatkan hak istimewa. Modus operandinya adalah pengumpulan intelijen asing, serta menjaga kegigihan dalam organisasi yang dikompromikan untuk melakukan operasi di masa depan.”
Sejalan dengan hal yang sama, Tim Tanggap Darurat Komputer Ukraina (CERT-UA) baru-baru ini menemukan kredensial Windows phishing APT29 dari target pemerintah, militer, dan sektor swasta di Ukraina. Dan setelah membandingkan catatan dengan pihak berwenang di negara lain, CERT-UA menemukan bahwa kampanye tersebut sebenarnya tersebar di “geografi yang luas.”
Bahwa APT29 akan mengejar kredensial sensitif dari organisasi-organisasi yang terkemuka dan beragam secara geopolitik bukanlah hal yang mengejutkan, kata Narang, meskipun ia menambahkan bahwa “satu hal yang menyimpang dari jalurnya adalah penargetan yang luas, dibandingkan dengan [its typical more] serangan yang terfokus secara sempit.”
AWS dan Microsoft
Kampanye tersebut, yang dimulai pada bulan Agustus, dilakukan dengan menggunakan nama domain berbahaya yang dirancang agar terlihat seperti terkait dengan Amazon Web Services (AWS). Email yang dikirim dari domain ini berpura-pura memberi saran kepada penerima tentang cara mengintegrasikan AWS dengan layanan Microsoft, dan cara menerapkan arsitektur zero trust.
Meskipun menyamar, AWS sendiri melaporkan bahwa para penyerang tidak mengincar Amazon, atau kredensial AWS pelanggannya.
Apa yang sebenarnya diinginkan APT29 terungkap dalam lampiran email tersebut: file konfigurasi untuk Remote Desktop, aplikasi Microsoft untuk mengimplementasikan Remote Desktop Protocol (RDP). RDP adalah alat populer yang digunakan oleh pengguna sah dan peretas untuk mengoperasikan komputer dari jarak jauh.
Biasanya, penyerang akan mencoba memaksa masuk ke sistem Anda atau mengeksploitasi kerentanan, kemudian mengkonfigurasi RDP. Dalam kasus ini, mereka pada dasarnya mengatakan: 'Kami ingin membuat koneksi itu [upfront],'” kata Narang.
Meluncurkan salah satu lampiran berbahaya ini akan segera memicu koneksi RDP keluar ke server APT29. Namun bukan itu saja: File tersebut juga berisi sejumlah parameter berbahaya lainnya, seperti ketika koneksi dibuat, penyerang diberikan akses ke penyimpanan komputer target, clipboard, perangkat audio, sumber daya jaringan, printer, komunikasi (COM). ) port, dan banyak lagi, dengan kemampuan tambahan untuk menjalankan skrip berbahaya khusus.
Blokir RDP
APT29 mungkin tidak menggunakan domain AWS yang sah, namun Amazon masih berhasil menghentikan kampanye dengan menangkap peniru berbahaya dari grup tersebut.
Bagi calon korban, CERT-UA merekomendasikan tindakan pencegahan yang ketat: tidak hanya memantau log jaringan untuk koneksi ke alamat IP yang terkait dengan APT29 tetapi juga menganalisis semua koneksi keluar ke semua alamat IP di Web yang lebih luas hingga akhir bulan.
Dan bagi organisasi yang menghadapi risiko di masa depan, Narang menawarkan saran yang lebih sederhana. “Pertama dan terpenting, jangan izinkan file RDP diterima. Anda dapat memblokirnya di gateway email Anda. Itu akan menghentikan semua ini,” katanya.
AWS menolak memberikan komentar lebih lanjut untuk cerita ini. Dark Reading juga telah menghubungi Microsoft untuk mendapatkan perspektifnya.