Microsoft: Hacker Iran Incar Korporasi AS, Saudi, dan Korsel
Ilustrasi
Cyberthreat.id - Microsoft dalam laporannya baru-baru ini menyebut APT33 yang dikenal sebagai kelompok cybercriminal Holmium atau Magnallium, telah mencuri data dari sekitar 200 perusahaan dalam dua tahun terakhir.
Kelompok hacker asal Iran ini merambah ke sistem, bisnis, dan pemerintah sehingga menyebabkan ratusan juta dolar kerusakan dan kerugian. Kelompok hacker Holmium telah aktif sejak 2013.
Target utama
Kelompok Holmium telah menargetkan organisasi yang menjangkau berbagai sektor. Mereka, terutama menargetkan perusahaan yang khusus berlokasi di AS, Arab Saudi, dan Korea Selatan.
Belakangan, grup ini mengalihkan fokusnya pada perusahaan penerbangan yang terlibat dalam kapasitas militer dan komersial. Termasuk menargetkan organisasi yang terkait dengan produksi petrokimia.
Modus operandi
APT33 terutama mengandalkan email spear-phishing untuk melakukan sebagian besar serangannya. Email ini termasuk URL yang ditautkan ke beberapa file tertentu (seperti .hta).
"Setelah pengguna mengklik URL, ia mengunduh malware, sehingga memulai proses infeksi," tulis Cyware Hacker News, Senin (17 Februari 2020).
Kelompok kriminal cyber ini juga menggunakan serangkaian malware dalam kampanye serangan yang berbeda-beda. Termasuk diantaranya SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, dan ALFA Shell.
Kelompok ini juga memanfaatkan tools hacker Iran dan server DNS populer untuk kampanye serangannya.
Contoh Serangan APT33
1. Sejak pertengahan 2016 hingga awal 2017, Magnallium menyerang sebuah perusahaan AS di sektor kedirgantaraan dan menargetkan kelompok bisnis yang berlokasi di Arab Saudi.
2. Pada saat yang sama, Magnallium juga menargetkan perusahaan Korea Selatan yang melakukan bisnis dalam penyulingan minyak dan petrokimia.
3. Mei 2017, kelompok ini menargetkan organisasi Saudi dan bisnis Korea Selatan dengan menggunakan kampanye phishing terkait pekerjaan palsu. Magnallium memikat korban dengan lowongan pekerjaan untuk sebuah perusahaan petrokimia Arab Saudi.
4. Dalam sebuah insiden, APT33 menggunakan teknik "squatting" domain untuk menargetkan berbagai organisasi di Arab Saudi. Caranya dengan mendaftarkan banyak domain yang menyamar sebagai perusahaan penerbangan Arab Saudi dan organisasi Barat
APT33 ini menipu korban untuk memberikan pelatihan, pemeliharaan, dan dukungan untuk armada militer dan komersial Saudi.
Domain itu menyamar sebagai organisasi seperti: Boeing, Perusahaan Pesawat Alsalam, Northrop Grumman Aviation Arabia (NGAAKSA), dan Vinnell Arabia.
5. Kelompok ini juga bertanggung jawab atas serangan yang melibatkan malware data-wiper Shamoon tahun lalu. Malware ini digunakan untuk menargetkan para pemain industri di Timur Tengah dan Eropa.
Kesimpulan
Mengingat jenis malware dan teknik serangan yang digunakan, para ahli percaya bahwa kelompok ini perlahan-lahan memperluas operasinya ke negara lain.
"Penggunaan tools yang agresif, dikombinasikan dengan pergeseran geopolitik. Ini membuat bahaya yang ditimbulkan APT33 kepada pemerintah dan kepentingan komersial di Timur Tengah dan di seluruh dunia," tulis laporan perusahaan cybersecurity FireEye.
"Melihat grup ini dan kemampuan destruktifnya, memberikan peluang bagi organisasi untuk mendeteksi dan menangani ancaman terkait secara proaktif."
