TA551 Mengubah Taktik untuk Memasang Alat Tim Merah Sliver

Kelompok ancaman kriminal yang dikenal sebagai TA551 telah menambahkan alat red-teaming Sliver ke dalam kantong jejaknya – sebuah langkah yang mungkin menandakan peningkatan serangan ransomware di masa depan, kata para peneliti.

Menurut peneliti Proofpoint, TA551 (alias Shathak) telah memasang serangan siber yang mulai dengan pembajakan utas email – taktik yang semakin populer di mana musuh memasukkan diri mereka ke dalam percakapan email yang ada. Dalam satu serangan yang terlihat minggu ini, pesan berisi dokumen Word zip yang dilindungi kata sandi. Jika dibuka dan makro diaktifkan, lampiran pada akhirnya mengarah pada pengunduhan Sliver, simulasi musuh lintas platform sumber terbuka dan platform tim merah.

Aktivitas ini menunjukkan “keberangkatan signifikan” dari taktik, teknik, dan prosedur (TTP) sebelumnya dari TA551, menurut Proofpoint. Biasanya, tujuan akhir TA551 adalah untuk menjatuhkan trojan akses awal/perbankan seperti IcedID, Qbot atau Ursnif (dan Emotet di masa lalu), yang akhirnya menyebabkan serangan ransomware. Misalnya, implan IcedID dikaitkan dengan peristiwa ransomware Maze dan Egregor pada tahun 2020, perusahaan tersebut menentukan.

“Biasanya, TA551 menggunakan lebih banyak malware komoditas seperti trojan perbankan,” Sherrod DeGrippo, wakil presiden penelitian dan deteksi ancaman di Proofpoint, mengatakan kepada Threatpost. “Mereka akan membahayakan korban dan berpotensi menjadi perantara akses untuk memungkinkan penyebaran Cobalt Strike dan akhirnya ransomware. Sekarang dengan Sliver, mereka tidak perlu bergantung pada grup lain untuk akses. Pelaku ancaman dapat menerobos masuk sendiri dengan lebih banyak fleksibilitas untuk mendorong ransomware, mencuri data, atau melakukan gerakan lateral apa pun melalui organisasi target.”

Red Teams Tools on the Rise for Cybercrime

Langkah untuk menginstal Sliver menunjukkan penggunaan bola salju dari alat berburu ancaman dan pertahanan yang sah oleh penjahat dunia maya, kata DeGrippo. Proofpoint mengamati peningkatan 161 persen dalam penggunaan alat tim merah Cobalt Strike oleh aktor ancaman antara tahun 2019 dan 2020 misalnya.

Ini adalah fenomena yang juga ditandai oleh peneliti lain.

“Penyerang tidak pernah lebih baik dalam hal alat yang tersedia secara bebas , seperti Metasploit dan Mimikatz, atau salinan bajakan Cobalt Strike,” tulis Nate Warfield, CTO di Prevailion, dalam kolom Threatpost minggu ini. “Apakah mereka membutuhkan perangkat phishing, kerangka kerja kebingungan, alat akses awal, infrastruktur perintah-dan-kontrol (C2), alat penyalahgunaan kredensial, atau bahkan muatan ransomware open-source, hampir semua ini dapat ditemukan secara gratis di GitHub. Kebanyakan orang menganggap aktor jahat bersembunyi di Dark Web, menjual alat untuk Bitcoin hanya ke topi hitam yang paling teduh, tetapi ini tidak benar.”

Dia menambahkan, “Industri telah memberikan restu kepada profesional keamanan ofensif untuk mengembangkan dan merilis menyerang kerangka kerja di bawah alasan bahwa ‘pembela perlu memahami taktik ini.’ Tetapi ini menutupi fakta bahwa kerangka kerja serangan juga membantu penyerang dan mempersulit pembela untuk mengikuti.”

Sliver tersedia secara online gratis, dan kemampuan mencakup informasi -gathering, fungsi command-and-control (C2), manipulasi token, injeksi proses dan fitur lainnya. Kerangka kerja ofensif tambahan yang muncul sebagai muatan tahap pertama yang digunakan oleh pelaku kejahatan dunia maya termasuk Lemon Tree dan Veil, menurut Proofpoint.

“Aktor ancaman menggunakan sebanyak mungkin alat yang sah, termasuk menjalankan proses Windows seperti PowerShell dan WMI; menyuntikkan kode berbahaya ke dalam biner yang sah; dan sering menggunakan layanan yang diizinkan seperti Dropbox, Google Drive, SendGrid, dan Kontak Konstan untuk menghosting dan mendistribusikan malware,” kata DeGrippo kepada Threatpost. “Mereka fleksibel dan mudah diakses dan digunakan.”

Bertahan Terhadap Serangan Email

Proofpoint mengatakan bahwa itu tidak merilis data kampanye apa pun, termasuk viktimologi, distribusi geografis serangan, atau volume aktivitas – jadi sulit untuk mengatakan bisnis mana yang harus diperhatikan. Namun, TA551 dikenal dengan serangan global berskala luas yang menghasilkan jaring besar. Dan, DeGrippo memang menawarkan tip perlindungan berikut:

  • Latih pengguna untuk menemukan dan melaporkan email berbahaya: Pelatihan reguler dan serangan simulasi dapat menghentikan banyak serangan dan membantu mengidentifikasi orang-orang yang sangat rentan. Simulasi terbaik meniru teknik serangan dunia nyata. Cari solusi yang terkait dengan tren serangan dunia nyata dan intelijen ancaman terbaru.liu

    <

    ul>iPastikan makro dinonaktifkan. Pelaku ancaman sering kali mendistribusikan dokumen yang mengharuskan makro diaktifkan untuk menyebarkan muatan berbahaya. Juga sertakan simulasi serangan sarat makro dalam demonstrasi pelatihan keamanan.liu

    <

    ul>iAsumsikan bahwa pengguna pada akhirnya akan mengklik beberapa ancaman. Penyerang akan selalu menemukan cara baru untuk mengeksploitasi sifat manusia. Solusi keamanan email Anda harus menganalisis email eksternal dan internal—penyerang dapat menggunakan akun yang disusupi untuk mengelabui pengguna dalam organisasi yang sama. Isolasi web dapat menjadi perlindungan penting untuk URL yang tidak diketahui dan berisiko.

  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: