Pencurian Data Kredensial Besar-Besaran Terjadi, Peretas Asal Rusia Jadi “Dalangnya”
Microsoft mengatakan telah melihat peningkatan kredensial yang dicuri oleh grup peretasan milik negara Rusia, Midnight Blizzard. Seperti yang dikutip dari The Hacker News. Tim intelijen Microsoft menjelaskan bahwa penyusupan ini memanfaatkan atau menggunakan layanan proksi rumah untuk mengaburkan alamat IP sumber serangan, menargetkan pemerintah, penyedia layanan TI, LSM, pertahanan, dan sektor manufaktur penting.
Baca Juga : 35 Juta Transaksi Pelanggan Indihome Diduga Bocor, Ulah Hacker Bjorka Lagi!
“Midnight Blizzard, sebelumnya dikenal sebagai Nobelium, juga dikenal dengan nama APT29, Cozy Bear, Iron Hemlock, dan The Dukes,” tulis The Hacker News.
Dikutip dari Cyberthreat.id, Grup yang telah berhasil menarik perhatian global pada kompromi rantai pasokan SolarWinds pada Desember 2020, terus menggunakan alat canggih untuk melakukan serangan yang ditargetkan terhadap kementerian luar negeri dan entitas diplomatik. Ini adalah tanda betapa bertekadnya mereka untuk melanjutkan operasi mereka meskipun ditemukan, menjadikan mereka aktor yang sangat tangguh di bidang spionase.
“Kredensial ini menggunakan beberapa injeksi kata sandi, kekerasan, dan teknik pemblokiran token,” kata Microsoft dalam tweet-nya, menambahkan bahwa aktor tersebut juga melakukan serangan replay sesi untuk awalnya mendapatkan akses ke cloud untuk menyediakan sumber daya dengan mengeksploitasi sesi yang dicuri darinya. Dari penemuan itu mendorong APT29 untuk menggunakan layanan server proxy untuk meneruskan lalu lintas berbahaya guna menyamarkan koneksi yang dibuat dengan kredensial yang disusupi.
Baca Juga : Waspada! Dua Aplikasi Mengandung Spayware beredar Bebas Di Google Play Store
“Aktor ancaman cenderung menggunakan alamat IP ini hanya untuk waktu yang sangat singkat, yang dapat mempersulit ruang lingkup dan perbaikan,” kata pembuat Windows.
Perkembangan tersebut muncul saat Recorded Future melaporkan kampanye spear-phishing baru oleh APT28 yang menargetkan entitas pemerintah dan militer Ukraina mulai November 2021. Serangan itu menggunakan email dengan lampiran yang mengeksploitasi banyak kerentanan dalam perangkat lunak email Roundcube open-source untuk melakukan pemberitahuan dan pengumpulan data.
Pelanggaran yang berhasil memungkinkan peretas intelijen militer Rusia menggunakan malware JavaScript palsu untuk mengalihkan email masuk dari target ke alamat email yang dikendalikan oleh penyerang dan mencuri daftar kontak mereka.
“Kampanye tersebut menunjukkan tingkat keinginan yang tinggi untuk menggunakan konten berita dengan cepat sebagai umpan untuk mengeksploitasi penerima,” kata perusahaan keamanan siber tersebut. “Email spear phishing berisi pesan terkait Ukraina dengan baris subjek dan konten yang mencerminkan sumber media yang sah”. Lebih penting lagi, aktivitas tersebut konsisten dengan serangkaian serangan lain yang menyebabkan kerentanan zero-day di Microsoft Outlook yang menurut Microsoft digunakan dalam “serangan bertarget terbatas” terhadap organisasi Eropa.
Kerentanan eskalasi hak kredensial ini telah diperbaiki sebagai bagian dari tambalan yang dirilis pada Maret 2023. Temuan ini menunjukkan upaya berkelanjutan dari aktor ancaman Rusia untuk mengumpulkan intelijen berharga dari berbagai entitas di Ukraina dan di seluruh Eropa, terutama setelah serangan besar-besaran negara itu pada Februari 2022. Perang dunia maya yang dilancarkan terhadap target Ukraina ditandai dengan meluasnya penggunaan malware penghapus data, menjadikannya salah satu contoh paling awal dari konflik hibrida berskala besar.
“BlueDelta hampir pasti akan terus memprioritaskan pemerintah Ukraina dan organisasi sektor swasta untuk mendukung upaya militer Rusia yang lebih luas,” catat Recorded Future.
