Pembaruan Kampanye BlindEagle Manfaatkan Plugin Mata-mata dan Hosting File Brasil Pembaruan Kampanye BlindEagle Manfaatkan Plugin Mata-mata dan Hosting File Brasil ~ Teknogav.com
Home » Pembaruan Kampanye BlindEagle Manfaatkan Plugin Mata-mata dan Hosting File Brasil

Pembaruan Kampanye BlindEagle Manfaatkan Plugin Mata-mata dan Hosting File Brasil

Teknogav.com - Tim Riset dan Analisis Global Kaspersky (GReAT) melaporkan beberapa pembaruan dalam kampanye mata-mata kelompok APT (Advanced Persistent Threat) BlindEagle. Sasaran kampanye tersebut adalah individu dan organisasi dari Kolombia. Pembaruan tersebut mencakup plugin mata-mata baru dan penggunaan situs hosting file Brasil yang resmi selama proses infeksi.

Baru-baru ini, Kelompok BlindEagle yang dikenal sejak 2018, mengembangkan metode mata-matanya. BlindEagle (alias APT-C-36) adalah kelompok APT yang dikenal karena teknik dan metode serangannya yang sederhana, tetapi efektif. Kelompok ini dikenal karena kampanye terus-menerus yang ditujukan pada organisasi dan individu di Kolombia, Ekuador, dan negara-negara lain di Amerika Latin.

Baca juga: Malware DuneQuixote Mata-matai Pemerintahan di Seluruh Dunia

Sasaran serangan BlindEagle adalah berbagai sektor entitas, termasuk lembaga pemerintahan; organisasi energi, minyak dan gas; perusahaan keuangan; dan lain-lain. Seranganya dikenal menggunakan berbagai RAT sumber terbuka secara bergantian, seperti njRAT, Lime-RAT, atau BitRAT. Tujuan utama kelompok ini adalah untuk memata-matai korban dan mencuri informasi keuangan. Kelompok ini menunjukkan kemampuan beradaptasi dalam menentukan motif serangan sibernya. Fleksibilitas serangannya pun terlihat dari peralihan dari serangan keuangan murni menjadi operasi spionase.

Kini, kelompok tersebut makin banyak meninggalkan artefak berbahasa Portugis dalam kode berbahaya mereka. Sebelumnya, mereka lebih banyak menggunakan bahasa Spanyol. Kaspersky juga mengamati BlindEagle meluncurkan kampanye terpisah dengan teknik sideloading DLL, yang tidak biasa dilakukan mereka.

Kelompok BlindEagle berganti-ganti di antara berbagai trojan akses jarak jauh (RAT) sumber terbuka. Mereka memilih njRAT sebagai alat inti mereka dalam salah satu kampanye terbaru pada bulan Mei 2024. Malware ini memungkinkan pencatatan tombol, akses webcam, pencurian detail mesin, tangkapan layar, pemantauan aplikasi, dan kegiatan mata-mata lainnya. Kini, malware tersebut diperbarui dengan kemampuan serangan tambahan. Trojan pada malware tersebut didukung ekstensi plugin khusus yang memungkinkan eksekusi biner dan file.NET. Cakupan potensial plugin ini mencakup eksekusi modul mata-mata tambahan dan pengumpulan informasi yang lebih sensitif.

“Dampak nyata dari pembaruan ini belum terlihat. Pelaku ancaman ini dapat menargetkan berbagai informasi sensitif. Dalam kampanye sebelumnya, kelompok tersebut telah menggunakan modul untuk memfilter lokasi korban, memperoleh informasi sistem terperinci, seperti aplikasi yang diinstal, menonaktifkan perangkat lunak antivirus, dan menyuntikkan muatan berbahaya seperti Meterpreter,” papar Leandro Cuozzo, Peneliti Keamanan di Kaspersky Global Research and Analysis Team (GReAT).

Baca juga: Kaspersky Temukan Spyware Mandrake Baru Berkedok Aplikasi Aset Kripto

Peningkatan Proses Infeksi Baru dan Penggunaan Bahasa Portugis

Penyerang menginfeksi sistem dengan spear phishing terlebih dahulu sebelum mengirim malware dan plugin baru. Email disamarkan seolah-olah berasal dari instansi pemerintah yang menginformasikan korban mengenai denda atau tilang lalu lintas. Lampiran yang terlihat berformat PDF dilampirkan di dalam email tersebut. Namun, lampiran tersebut sebenarnya merupakan Visual Basic Script (VBS) berbahaya yang menyebarkan malware mata-mata ke komputer korban dalam serangkaian tindakan. Peneliti Kaspersky mengamati bahwa kampanye tersebut makin banyak berisi artefak dalam bahasa Portugis. Penggunaan bahasa tersebut terutama dalam variabel, nama fungsi, dan komentar.

“Tren BlindEagle yang berkembang menggunakan bahasa Portugis, ini menunjukkan bahwa kelompok tersebut mungkin berkolaborasi dengan pelaku ancaman eksternal. Sebelumnya, bahasa Spanyol mendominasi artefak mereka. Namun, dalam kampanye tahun lalu, kelompok tersebut mulai menggunakan beberapa fungsi dan nama variabel dalam bahasa Portugis secara bertahap. Bahasa Portugis digunakan secara signifikan dalam kampanye ini. Selain menggunakan bahasa Portugis, kelompok tersebut mulai menggunakan domain Brasil untuk memuat beberapa tingkatan malware multi-tahap. Ini mendukung teori bahwa mereka mungkin bekerja dengan seseorang di luar ‘tim’,” lanjut Leandro Cuozzo.

Situs hosting gambar Brasil digunakan untuk memasukkan kode berbahaya ke komputer korban. Sebelumnya, mereka menggunakan layanan seperti Discord atau Google Drive. Perintah untuk mengunduh gambar dari situs hosting gambar yang baru dijalankan oleh skrip berbahaya. Gambar tersebut berisi kode berbahaya yang diekstrak dan dijalankan di komputer korban.

Salah satu gambar dengan kode yang dikaburkan diunduh ke mesin korban

"Dalam lanskap digital yang berkembang pesat saat ini, maraknya kampanye mata-mata siber yang canggih menekankan pentingnya organisasi dan individu untuk tetap waspada dan terlindungi dari ancaman yang muncul. Evolusi taktik berbahaya yang berkelanjutan menuntut pendekatan proaktif terhadap keamanan siber. Ini termasuk memanfaatkan intelijen ancaman yang kuat dan teknologi deteksi mutakhir serta menumbuhkan budaya kewaspadaan dan ketahanan siber," ucap Leandro Cuozzo. 

Kampanye terpisah yang diluncurkan bulan Juni 2024 dengan teknik yang tidak biasa digunakan pelaku ancaman juga dilihat Kaspersky. Teknik sideloading DLL yang merupakan metode untuk mengeksekusi kode berbahaya melalui Dynamic Link Libraries (DLL) Windows digunakan pada kampanye tersebut. 

Kelompok tersebut mengirim dokumen yang sebenarnya merupakan file PDF atau docx berbahaya. Calon korban dikelabui agar mengklik tautan untuk mengunduh dokumen fiktif berupa file ZIP yang berisi file yang dapat dieksekusi. Selain itu, file ZIP juga berisi berbagai file berbahaya yang digunakan dalam rantai serangan. Infeksi dimulai melalui sideloading ketika file tersebut dieksekusi. Versi AsyncRAT yang sebelumnya digunakan dalam beberapa kampanye digunakan oleh kampanye BlindEagle ini.

Sepanjang bulan Mei dan Juni 2024, sasaran kampanye mata-mata merupakan individu dan organisasi yang berlokasi di Kolombia. Sektor yang dituju terutama sektor pemerintahan, pendidikan, kesehatan, dan transportasi, tetapi tidak hanya terbatas di sektor-sektor ini.

Bagi yang ingin mendalami ancaman siber yang terus berkembang dapat bergabung dengan Kaspersky Security Analyst Summit (SAS). Konferensi tersebut merupakan yang ke-16 dan akan digelar di Bali pada 22-25 Oktober 2024.

Baca juga:  Waspada, Backdoor DinodasRAT dapat Bobol Keamanan Linux dan Mengeksploitasi Sistem

Tips Aman dari Ancaman Siber

Para peneliti Kaspersky memberikan beberapa saran berikut ini agar dapat senantiasa terlindungi dari ancaman: 

  • Waspada pada email yang masuk, selalu verifikasi email yang tak terduga, periksa keabsahannya. Hal ini penting bagi semua individu, terutama yang menjadi sasaran spionase. Instansi pemerintah biasanya tidak menghubungi individu melalui email untuk meminta pemberitahuan hukum, demikian juga perbankan dan lembaga keuangan. Instansi dan organisasi tersebut biasanya dijadikan kedok pelaku kejahatan untuk mendesak korban mengklik tautan atau konten berbahaya.
  • Periksa juga pesan dari organisasi resmi seperti bank, dinas pajak, toko online, agen perjalanan, maskapai penerbangan dan sebagainya. Pesan internal dari kantor sendiri pun perlu diperiksa karena tak sulit membuat email palsu yang terlihat resmi.
  • Instal solusi keamanan tepercaya dan ikuti rekomendasinya. Solusi yang aman akan menyelesaikan sebagian besar masalah secara otomatis dan memberikan pemberitahuan jika diperlukan
Demikianlah beberapa tips dari Kaspersky agar senantiasa aman dari ancaman siber.
Share:

Artikel Terkini