Sejak 2021, berbagai kelompok ancaman yang bersekutu dengan negara telah meningkatkan penargetan jurnalis mereka untuk menyedot data dan kredensial dan juga melacak mereka.
Serangan phishing yang ditargetkan dilacak ke beberapa pelaku ancaman yang masing-masing secara independen berfokus pada mencuri kredensial dan data sensitif serta melacak geolokasi jurnalis.
Dalam laporan hari Kamis oleh Proofpoint, para peneliti menguraikan upaya individu oleh kelompok-kelompok ancaman persisten lanjutan (APT) yang mereka katakan selaras dengan China, Korea Utara, Iran, dan Turki. Serangan dimulai pada awal 2021 dan sedang berlangsung, kata para peneliti.
Menurut ke laporan, APT bertindak secara independen satu sama lain tetapi memiliki tujuan keseluruhan yang sama yaitu menargetkan jurnalis. Taktiknya juga serupa, dengan pelaku ancaman menargetkan email dan akun media sosial sebagai phishing dalam kampanye spionase siber.
Seringkali menyamar sebagai jurnalis itu sendiri, aktor ancaman berfokus pada kampanye phishing dengan tujuan mengumpulkan kredensial, pencurian data yang membantu rezim tertentu, dan pengawasan digital jurnalis politik.
APT Tradecraft: Phish
Serangan tersebut biasanya melibatkan beberapa jenis rekayasa sosial untuk menurunkan penjagaan target guna membujuk mereka untuk mengunduh dan mengeksekusi berbagai muatan berbahaya ke perangkat digital pribadi mereka, kata para peneliti. Umpan termasuk email dan pesan yang dikirim melalui berbagai platform media sosial tentang topik yang terkait dengan bidang fokus politik mereka, kata para peneliti.
[Acara Sesuai Permintaan GRATIS: Bergabunglah dengan Zane Bond Penjaga Keamanan di meja bundar Threatpost dan pelajari cara mengakses mesin Anda dengan aman dari mana saja dan berbagi dokumen sensitif dari kantor pusat Anda. TONTON DI SINI.]
Dalam berbagai kasus, penyerang akan bersembunyi, memposting infeksi malware, untuk mendapatkan kegigihan di jaringan penerima dan melakukan pengintaian jaringan lateral dan menyebarkan infeksi malware tambahan di dalam jaringan target.
Taktik sekunder termasuk melacak atau mengawasi jurnalis. Proofpoint mengatakan musuh menggunakan suar web yang ditanam di perangkat jurnalis untuk melakukan pengawasan.
Wartawan Pernah Diincar Sebelumnya, Tapi Tidak Seperti Ini
Sementara laporan terbaru melacak beberapa aktivitas terbaru terhadap jurnalis, menargetkan kelompok individu ini tentu bukanlah hal yang baru, mengingat jenis informasi yang dapat diakses oleh jurnalis terkait masalah politik dan sosial-ekonomi, catat mereka.
“Aktor APT, terlepas dari afiliasi negara mereka, memiliki dan kemungkinan akan selalu memiliki mandat untuk menargetkan jurnalis dan organisasi media dan akan menggunakan persona terkait untuk memajukan tujuan dan prioritas pengumpulan mereka,” tulis para peneliti.
Selain itu, fokus pada media oleh APT sepertinya tidak akan pernah berkurang, yang seharusnya menginspirasi jurnalis untuk melakukan segala yang mereka bisa untuk mengamankan komunikasi dan data sensitif mereka, kata mereka.
Serangan APT yang didukung China di AS
Antara Januari dan Februari 2021, peneliti Proofpoint mengidentifikasi lima kampanye dengan
APT TA412 Cina, juga dikenal sebagai zirkonium, menargetkan jurnalis yang berbasis di AS, terutama yang meliput politik AS dan keamanan nasional selama acara yang mendapat perhatian internasional, kata para peneliti.
Cara kampanye dibuat tergantung pada iklim politik AS saat ini, dan penyerang beralih target tergantung pada jurnalis mana yang meliput topik yang diminati pemerintah China, kata mereka.
Satu kampanye pengintaian phishing terjadi pada hari-hari sebelum serangan 6 Januari di gedung Capitol AS, dengan penyerang berfokus secara khusus pada Gedung Putih dan koresponden yang berbasis di Washington selama waktu ini, kata mereka.
Penyerang menggunakan baris subjek yang diambil dari artikel berita AS baru-baru ini yang terkait dengan topik politik terkait pada saat itu, termasuk tindakan mantan Presiden Donald Trump, gerakan politik AS yang terkait dengan China dan, baru-baru ini, sikap dan keterlibatan AS dalam perang Rusia melawan Ukraina, para peneliti dikatakan.
Memvariasikan Muatan
Dalam kampanye yang diamati, Zirkonium digunakan sebagai suar web muatannya, taktik yang konsisten dengan kejahatan kampanye spionase dunia maya terhadap jurnalis yang dilakukan APT sejak 2016, kata peneliti.
Web beacon, biasanya disebut sebagai piksel pelacakan, beacon pelacakan, atau bug web, menyematkan objek hyperlink yang tidak terlihat di dalam badan email yang, ketika diaktifkan, mencoba mengambil file gambar jinak dari server yang dikendalikan aktor.
“Peneliti bukti menilai kampanye ini dimaksudkan untuk memvalidasi email yang ditargetkan aktif dan untuk mendapatkan informasi mendasar tentang lingkungan jaringan penerima,” tulis mereka.
Para peneliti mengamati APT lain yang didukung Tiongkok, TA459, pada akhir April 2022 yang menargetkan personel media di Asia Tenggara dengan email yang berisi lampiran RTF Royal Road yang berbahaya, jika dibuka, akan menginstal dan mengeksekusi malware Chinoxy–pintu belakang yang digunakan untuk mendapatkan kegigihan pada mesin korban.
Entitas yang ditargetkan bertanggung jawab untuk melaporkan konflik Rusia-Ukraina, yang sejalan dengan mandat bersejarah TA459 untuk mengumpulkan masalah intelijen yang terkait dengan Rusia dan Belarus, catat para peneliti.
Peluang Kerja Palsu dari Korea Utara
Para peneliti juga mengamati TA404 yang selaras dengan Korea Utara—lebih dikenal sebagai Lazarus– pada awal 2022 menargetkan organisasi media yang berbasis di AS dengan serangan phishing yang tampaknya menawarkan peluang kerja dari perusahaan terkemuka kepada jurnalis, lapor mereka. Serangan itu mengingatkan pada yang serupa melawan insinyur yang dipasang grup pada tahun 2021.
“Ini dimulai dengan phishing pengintaian yang menggunakan URL yang disesuaikan untuk setiap penerima,” tulis para peneliti tentang kampanye phishing baru-baru ini. “URL tersebut meniru posting pekerjaan dengan halaman arahan yang dirancang agar terlihat seperti situs posting pekerjaan bermerek.”
Namun, situs-situs itu curang, dan URL-nya dipersenjatai untuk menyampaikan informasi pengenal tentang komputer, atau perangkat yang digunakan seseorang untuk memungkinkan tuan rumah melacak target yang dimaksud, kata para peneliti.
APT yang didukung Turki Menargetkan Kredensial Twitter
APT yang diduga memiliki hubungan dengan pemerintah Turki juga menargetkan jurnalis, dengan satu kampanye termasuk satu "aktor ancaman yang produktif" TA482 yang diamati oleh Proofpoint. Menurut peneliti, APT telah secara aktif menargetkan jurnalis sejak awal 2022, melalui akun Twitter dalam upaya untuk mencuri kredensial dari jurnalis dan organisasi media yang berbasis di AS.
Motif di balik kelompok itu tampaknya untuk menyebarkan propaganda untuk mendukung Presiden Recep Tayyip Erdogan, partai politik yang berkuasa di Turki, Partai Keadilan dan Pembangunan, meskipun hal ini tidak dapat dikonfirmasi dengan pasti, catat para peneliti.
Kampanye tersebut menggunakan email phishing yang biasanya terkait dengan keamanan Twitter—memperingatkan pengguna untuk login yang mencurigakan—untuk menarik perhatian penerima, membawa mereka ke halaman pengumpulan kredensial yang meniru Twitter jika mereka mengklik tautan.
Kredensial Panen APT Iran
APT yang terkait dengan Iran telah sangat aktif dalam serangan mereka terhadap jurnalis dan surat kabar, biasanya menyamar sebagai jurnalis sendiri dalam serangan untuk terlibat dalam pengawasan terhadap target dan mendapatkan kredensial mereka, Proofpoint telah menemukan.
Salah satu pelaku paling aktif dari serangan ini adalah TA453, yang dikenal sebagai Kucing yang menawan, Sebuah grup terkenal selaras dengan upaya pengumpulan intelijen Korps Pengawal Revolusi Islam Iran, kata Proofpoint.
Kelompok ini terkenal karena menyamar sebagai jurnalis dari seluruh dunia untuk menargetkan jurnalis, akademisi, dan peneliti sama dengan terlibat dalam diskusi tentang
kebijakan luar negeri atau topik lain yang terkait dengan Timur Tengah, setelah itu mereka akan diundang ke pertemuan virtual melalui PDF yang disesuaikan namun ramah.
Namun, PDF—biasanya dikirim dari layanan hosting file—hampir selalu berisi tautan ke penyingkat URL dan pelacak IP yang mengarahkan target ke domain pemanen kredensial yang dikendalikan aktor, kata para peneliti.
TA456, juga dikenal sebagai Tortoiseshell, adalah aktor ancaman lain yang bersekutu dengan Iran yang secara rutin berperan sebagai organisasi media untuk menargetkan jurnalis dengan email bertema buletin yang berisi suar web yang dapat melacak target.
Aktor lain yang disponsori negara Iran, TA457, bersembunyi di balik persona organisasi media palsu yang disebut "iNews Reporter" untuk mengirimkan malware ke personel hubungan masyarakat
untuk perusahaan yang berlokasi di Amerika Serikat, Israel dan Arab Saudi, kata para peneliti. Antara September 2021 dan Maret 2022, Proofpoint mengamati kampanye oleh aktor ancaman produktif yang terjadi kira-kira setiap dua hingga tiga minggu, kata mereka.
Dalam satu kampanye yang terjadi pada Maret 2022, TA457 mengirim email dengan subjek ironis "Iran Cyber War" yang akhirnya menjatuhkan trojan akses jarak jauh pada mesin korban. Kampanye tersebut terlihat menargetkan alamat email individu dan grup di segelintir pelanggan Proofpoint yang terlibat dalam energi, media, pemerintah dan manufaktur, para peneliti melaporkan.
[Acara Sesuai Permintaan GRATIS: Bergabunglah dengan Zane Bond Penjaga Keamanan di meja bundar Threatpost dan pelajari cara mengakses mesin Anda dengan aman dari mana saja dan berbagi dokumen sensitif dari kantor pusat Anda. TONTON DI SINI.]
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Pemerintah
- hacks
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- Pos Ancaman
- VPN
- website security
- zephyrnet.dll
