Panel serangan siber baru yang diberi nama TeslaGun telah ditemukan, digunakan oleh Evil Corp untuk menjalankan kampanye pintu belakang ServHelper.
Data yang diperoleh dari analisis oleh tim Prodraft Threat Intelligence (PTI) menunjukkan bahwa geng ransomware Evil Corp (alias TA505 atau UNC2165, bersama dengan setengah lusin nama pelacakan berwarna lainnya) telah menggunakan TeslaGun untuk melakukan kampanye phishing massal dan kampanye bertarget terhadap lebih banyak orang. dari 8,000 organisasi dan individu yang berbeda. Mayoritas targetnya berada di Amerika Serikat, yang menyebabkan lebih dari 3,600 korban, dengan sebaran internasional yang tersebar di luar Amerika Serikat.
Ada perluasan lanjutan dari malware pintu belakang ServHelper, paket yang sudah berjalan lama dan terus diperbarui yang telah ada setidaknya sejak tahun 2019. Ini mulai meningkat sekali lagi pada paruh kedua tahun 2021, menurut a laporan dari Cisco Talos, didorong oleh mekanisme seperti installer palsu dan malware installer terkait seperti Raccoon dan Amadey.
Baru-baru saja, intelijen ancaman dari Trellix bulan lalu melaporkan bahwa pintu belakang ServHelper baru-baru ini ditemukan menjatuhkan cryptominers tersembunyi ke dalam sistem.
Laporan PTI, yang diterbitkan pada hari Selasa, menyelidiki spesifikasi teknis di balik TeslaGun, dan menawarkan beberapa detail dan tips yang dapat membantu perusahaan melakukan tindakan pencegahan penting terhadap beberapa tren serangan siber pintu belakang yang umum saat ini.
Serangan pintu belakang yang menghindari mekanisme autentikasi dan secara diam-diam membangun persistensi pada sistem perusahaan adalah beberapa serangan yang paling meresahkan para pembela keamanan siber. Hal ini karena serangan ini sangat sulit dideteksi atau dicegah dengan kontrol keamanan standar.
Penyerang Pintu Belakang Mendiversifikasi Aset Serangannya
Peneliti PTI mengatakan bahwa mereka mengamati berbagai profil korban dan kampanye yang berbeda selama penyelidikan mereka, hal ini mendukung penelitian sebelumnya yang menunjukkan bahwa serangan ServHelper menjaring korban dalam berbagai kampanye secara bersamaan. Ini adalah pola serangan khas yang memberikan jaring lebar untuk serangan oportunistik.
“Satu contoh panel kontrol TeslaGun berisi beberapa catatan kampanye yang mewakili metode pengiriman dan data serangan yang berbeda,” jelas laporan itu. “Versi malware yang lebih baru mengkodekan kampanye yang berbeda ini sebagai ID kampanye.”
Namun Penyerang Siber Akan Secara Aktif Memprofilkan Korbannya
Pada saat yang sama, TeslaGun berisi banyak bukti bahwa penyerang membuat profil korban, membuat banyak catatan di beberapa titik, dan melakukan serangan pintu belakang yang ditargetkan.
“Tim PTI mengamati bahwa dasbor utama panel TeslaGun menyertakan komentar yang dilampirkan pada catatan korban. Catatan ini menunjukkan data perangkat korban seperti CPU, GPU, ukuran RAM, dan kecepatan koneksi internet,” kata laporan tersebut, menjelaskan bahwa hal ini menunjukkan adanya penargetan peluang penambangan kripto. “Di sisi lain, menurut komentar korban, jelas bahwa TA505 secara aktif mencari pengguna perbankan atau ritel online, termasuk dompet kripto dan akun e-commerce.”
Laporan tersebut menyatakan bahwa sebagian besar korban tampaknya bekerja di sektor keuangan namun penargetan ini tidak eksklusif.
Penjualan Kembali Adalah Bagian Penting dari Monetisasi Pintu Belakang
Cara pengaturan opsi pengguna pada panel kontrol memberi para peneliti banyak informasi tentang “alur kerja dan strategi komersial” grup tersebut, kata laporan itu. Misalnya, beberapa opsi pemfilteran diberi label “Jual” dan “Jual 2” dengan korban dalam kelompok ini yang protokol desktop jarak jauh (RDP) dinonaktifkan sementara melalui panel.
“Ini mungkin berarti bahwa TA505 tidak dapat segera memperoleh keuntungan dari eksploitasi korban-korban tersebut,” menurut laporan tersebut. “Alih-alih membiarkan mereka pergi, kelompok tersebut malah menandai koneksi RDP korban untuk dijual kembali ke penjahat dunia maya lainnya.”
Laporan PTI mengatakan bahwa berdasarkan pengamatan para peneliti, struktur internal kelompok tersebut “sangat tidak terorganisir” namun para anggotanya masih “memantau korban mereka dengan cermat dan dapat menunjukkan kesabaran yang luar biasa, terutama terhadap korban bernilai tinggi di sektor keuangan.”
Analisis lebih lanjut mencatat bahwa kekuatan kelompok ini terletak pada kelincahannya, sehingga sulit untuk memprediksi dan mendeteksi aktivitas dari waktu ke waktu.
Namun demikian, penyerang pintu belakang tidaklah sempurna, dan hal ini dapat memberikan beberapa petunjuk bagi para profesional keamanan siber yang ingin menggagalkan upaya mereka.
“Namun kelompok ini memang menunjukkan beberapa kelemahan. Meskipun TA505 dapat mempertahankan koneksi tersembunyi di perangkat korban selama berbulan-bulan, anggotanya sering kali mengeluarkan suara yang sangat berisik,” kata laporan itu. “Setelah menginstal ServHelper, pelaku ancaman TA505 dapat terhubung secara manual ke perangkat korban melalui terowongan RDP. Teknologi keamanan yang mampu mendeteksi terowongan ini terbukti penting untuk menangkap dan memitigasi serangan pintu belakang TA505.”
Evil Corp yang terkait dengan Rusia (dan terkena sanksi) telah menjadi salah satu grup paling produktif dalam lima tahun terakhir. Menurut Pemerintah AS, kelompok ini adalah otak kepercayaan di balik Trojan keuangan Dridex dan memiliki hubungan dengan kampanye yang menggunakan varian ransomware seperti WastedLocker. Negara ini juga terus mengasah sejumlah senjata untuk persenjataannya; minggu lalu, terungkap bahwa hal itu terkait dengan Infeksi Raspberry Robin.
PTI menggunakan TA505 untuk melacak ancaman, dan konsensusnya solid namun tidak bersifat universal bahwa TA505 dan Evil Corp adalah grup yang sama. Sebuah laporan bulan lalu dari Pusat Koordinasi Keamanan Siber Sektor Kesehatan (HC3) mengatakan pihaknya “saat ini tidak mendukung kesimpulan tersebut.”
