Hacker Iran MuddyWater Serang Israel Pakai Spear Phishing

Berita Cybersecurity, Hacker Iran Serang Israel - Hacker Iran yang dikenal dengan nama "MuddyWater" telah kembali ke arena show off hacker dengan serangan spear phishing terbaru yang menargetkan dua entitas Israel. Serangan ini menggunakan alat administrasi jarak jauh yang sah dari N-able yang disebut Advanced Monitoring Agent. Dalam artikel ini, kami akan mengungkapkan rincian serangan ini dan melihat perkembangan terbaru dalam modus operandi MuddyWater.

Rincian Serangan Terbaru

Menurut laporan dari The Hacker News, perusahaan keamanan siber Deep Instinct telah mengungkapkan serangan spear phishing baru yang terkait dengan MuddyWater. Serangan ini menampilkan "Tactics, Techniques, and Procedures" (TTP) yang diperbarui dari aktivitas MuddyWater yang telah dilaporkan sebelumnya. Pada masa lalu, MuddyWater menggunakan serangan serupa untuk mendistribusikan alat akses jarak jauh seperti ScreenConnect, RemoteUtilities, Syncro, dan Bantuan Sederhana.

Modus Operandi yang Konsisten

Meskipun perkembangan terbaru ini mencatat penggunaan perangkat lunak pemantauan jarak jauh N-able yang belum pernah terlihat sebelumnya, hal ini menekankan fakta bahwa sebagian besar modus operandi MuddyWater tetap tidak berubah. Kelompok ini terus mencapai tingkat keberhasilan tertentu dalam serangannya.

Konfirmasi oleh Group-IB

Temuan ini juga telah dikonfirmasi oleh perusahaan keamanan siber Group-IB dalam postingan yang mereka bagikan. Group-IB mengidentifikasi MuddyWater sebagai kelompok yang disponsori negara yang terkait dengan Iranian Ministry of Intelligence and Security (MOIS). MuddyWater adalah salah satu elemen bawahan dari MOIS dan memiliki hubungan dengan kelompok lain seperti OilRig, Lyceum, Agrius, dan Scarred Manticore. Kelompok ini telah aktif sejak tahun 2017.

Taktik dan Alat Terbaru

Serangan-serangan sebelumnya melibatkan pengiriman email spear phishing dengan tautan langsung dan lampiran berbagai jenis. Namun, serangan terbaru ini menunjukkan penggunaan layanan berbagi file baru bernama Storyblok untuk memulai serangan multi-tahap. Ini mencakup file LNK yang memulai infeksi dan file yang dapat dieksekusi untuk menyembunyikan dokumen umpan saat menjalankan Advanced Monitoring Agent, alat administrasi jarak jauh yang digunakan oleh MuddyWater.

Pengintaian Terhadap Target

Setelah korban terinfeksi, operator MuddyWater akan terhubung ke host yang terinfeksi menggunakan alat administrasi jarak jauh yang sah. Mereka kemudian memulai pengintaian terhadap target mereka. Dokumen umpan yang digunakan untuk menarik korban adalah memo resmi dari Komisi Pelayanan Sipil Israel, yang secara normal dapat diunduh secara publik dari situs resmi.

Peningkatan Skill MuddyWater

Deep Instinct juga mencatat peningkatan pesat dalam skill siber Iran dengan MuddyWater memanfaatkan kerangka Command and Control (C2) baru yang disebut MuddyC2Go, yang merupakan penerus dari MuddyC3 dan PhonyC2.

Kesimpulan

Serangan baru oleh MuddyWater menyoroti ancaman yang terus berkembang di dunia siber. Dengan perubahan taktik dan alat yang terus muncul, perusahaan keamanan siber dan entitas terkait harus tetap waspada terhadap ancaman yang dapat datang dari kelompok ini. Semua pihak yang terlibat dalam keamanan siber harus terus meningkatkan upaya mereka untuk melindungi sistem dan data sensitif mereka dari serangan siber yang semakin canggih ini.

Berbagi :

Anda mungkin menyukai postingan ini :

• 
  Terungkap! PostalFurious Targetkan U.A.E. dengan SMS Palsu
• 
  30 Juta Pengguna Android Terinfeksi Malware SpinOk di Google Play
• 
  Perintah Darurat dari AS: Bug Zero-Day Tebaru Ancam iPhone, Mac, dan iPad!