Peretas yang berbasis di Tiongkok menargetkan pemerintah Asia-Pasifik, termasuk PH, dalam kampanye spear phishing
Trend Micro mengungkap kampanye spear phishing yang berjalan setidaknya sejak Maret 2022 yang mengirimkan tautan Google Drive yang berisi file berbahaya
MANILA, Filipina – Perusahaan keamanan siber Trend Micro mengumumkan pada hari Jumat, 18 November bahwa mereka telah mengungkap kampanye spear phishing global yang dilakukan oleh aktor ancaman yang berbasis di Tiongkok, dengan peningkatan fokus pada negara-negara di Asia Pasifik, termasuk Myanmar, Australia, Filipina, Jepang dan Taiwan.
Spear-phishing adalah bentuk phishing yang lebih bertarget. Trend Micro, di dalamnya definisi dari istilah tersebut, dikatakan: “Meskipun taktik phishing mungkin mengandalkan metode shotgun yang mengirimkan email massal ke individu secara acak, spearphishing berfokus pada target tertentu dan melibatkan penelitian sebelumnya.”
Seperti serangan phishing pada umumnya, serangan ini sering kali mencakup email dan lampiran berbahaya yang antara lain dapat mencuri data atau menguasai komputer atau jaringan komputer. Spear-phishing lebih tepat, karena seperti yang dijelaskan oleh perusahaan: “Email berisi informasi spesifik mengenai target, termasuk nama target dan peringkatnya dalam perusahaan. Taktik rekayasa sosial ini meningkatkan kemungkinan korban melakukan semua tindakan yang diperlukan untuk infeksi, termasuk membuka email dan lampiran yang disertakan.”
Trend Micro telah mengidentifikasi aktor ancaman Earth Preta sebagai pelaku serangan terbaru ini, sebuah kelompok yang juga dikenal sebagai Mustang Panda atau Bronze President. Serangan-serangan tersebut terjadi antara bulan Maret dan Oktober 2022 dan sebagian besar menyasar pemerintah, serta organisasi penelitian dan akademis. Email dikirim ke target yang menyertakan tautan Google Drive, yang mengarah ke file berbahaya.
Kantor-kantor pemerintah di seluruh dunia yang melakukan kerja kolaboratif di Myanmar disebut-sebut sebagai salah satu target utama. Email tersebut sering kali berisi dokumen umpan yang ditulis dalam bahasa Burma yang tampaknya bersifat rahasia. “Sebagian besar topik dalam dokumen adalah isu kontroversial antar negara dan mengandung kata-kata seperti ‘Rahasia’ atau ‘Rahasia’. Hal ini mungkin mengindikasikan bahwa para penyerang menargetkan entitas pemerintah Myanmar sebagai titik masuk pertama mereka,” tulis Trend Micro.
Salah satu dokumen yang ditunjukkan oleh Trend Micro adalah notulensi dari “Pembicaraan Staf Senior Thailand-Myanmar ke-9” yang ditandai “rahasia” di bagian atas, yang menurut perusahaan tersebut dicuri dalam peretasan sebelumnya.
Selain dokumen yang terkesan rahasia, penggunaan topik sensasional dan pornografi juga digunakan dalam kampanye tersebut.
Beberapa pengirim malware mungkin merupakan akun email yang disusupi dari organisasi tertentu, kata perusahaan itu. “Korban mungkin yakin bahwa email ini dikirim dari mitra tepercaya, sehingga meningkatkan kemungkinan penerima memilih tautan berbahaya.”
Cara lain penyerang menghindari deteksi adalah dengan menempatkan email target di bilah “CC” dan bukan di bilah “Kepada” yang biasa di email. Hal ini memungkinkan penyerang menghindari analisis keamanan dan menunda deteksi, kata perusahaan itu.
Ketika semakin banyak korban yang membuka email yang disusupi dari organisasi mitra tepercaya, siklus ini dapat terus berlanjut dan semakin banyak dokumen yang dapat dicuri, dan dokumen yang baru dicuri akan digunakan sebagai umpan baru, sehingga melanjutkan rantai infeksi.
Trend Micro menjelaskan, “Berdasarkan analisis kami, setelah kelompok tersebut menyusup ke sistem korban yang ditargetkan, dokumen sensitif yang dicuri dapat disalahgunakan sebagai vektor akses untuk gelombang penyusup berikutnya. Strategi ini sangat memperluas cakupan dampak di wilayah terkait.”
Perusahaan tersebut memperingatkan: “Makalah penelitian terbaru menunjukkan bahwa (Earth Preta) terus memperbarui perangkatnya dan menunjukkan bahwa mereka semakin memperluas kemampuannya.”
Perusahaan keamanan siber yang berbasis di Australia, Bugcrowd, telah melakukannya halaman tentang kelompok ancaman Earth Preta atau Mustang Panda, bahwa kelompok tersebut “terkadang menunjukkan minat khusus untuk menargetkan pemerintah Myanmar dan telah melakukannya berulang kali sejak sekitar tahun 2019.”
“Aktor ancaman ini telah menargetkan organisasi di seluruh dunia sejak sekitar tahun 2012,” kata Bugcrowd. Selain negara-negara Asia, perusahaan tersebut mengatakan: “Target ini mencakup organisasi-organisasi Eropa seperti lembaga pemerintah dan organisasi keagamaan. Organisasi-organisasi Amerika juga menjadi sasaran, begitu pula organisasi keagamaan. Peneliti ancaman mengklaim Mustang Panda bahkan menargetkan organisasi Katolik di Vatikan.”
Trend Micro menyarankan: “Sebagai bagian dari rencana mitigasi organisasi, kami merekomendasikan penerapan pelatihan kesadaran phishing berkelanjutan untuk mitra dan karyawan. Kami menyarankan untuk selalu memeriksa ulang pengirim dan subjeknya sebelum membuka email, terutama jika pengirimnya tidak dapat diidentifikasi atau subjeknya tidak diketahui. Kami juga merekomendasikan solusi perlindungan berlapis untuk mendeteksi dan memblokir ancaman sejauh mungkin pada rantai infeksi malware.”
Perusahaan memiliki penjelasan teknis tentang malware tersebut Di Sini termasuk tangkapan layar contoh dokumen yang diedarkan dalam kampanye tersebut. – Rappler.com
