Peretas Iran Mengeksploitasi Kekeliruan VPN ke Organisasi Backdoor di Seluruh Dunia

Sebuah laporan baru yang diterbitkan oleh para peneliti cybersecurity telah mengungkap bukti peretas yang disponsori negara Iran yang menargetkan puluhan perusahaan dan organisasi di Israel dan di seluruh dunia selama tiga tahun terakhir.

Dijuluki "Kucing rubah, "kampanye spionase dunia maya dikatakan diarahkan pada perusahaan-perusahaan dari sektor IT, telekomunikasi, minyak dan gas, penerbangan, pemerintah, dan sektor keamanan.

"Kami memperkirakan kampanye yang diungkapkan dalam laporan ini sebagai salah satu kampanye paling berkelanjutan dan komprehensif Iran yang terungkap sampai sekarang," kata para peneliti ClearSky.

"Kampanye terungkap digunakan sebagai infrastruktur pengintaian; namun, itu juga dapat digunakan sebagai platform untuk menyebarkan dan mengaktifkan malware yang merusak seperti ZeroCleare dan Dustman."

Mengaitkan kegiatan dengan kelompok ancaman APT33, APT34, dan APT39, serangan – yang dilakukan dengan menggunakan campuran sumber terbuka dan alat yang dikembangkan sendiri – juga memfasilitasi kelompok untuk mencuri informasi sensitif dan menggunakan serangan rantai pasokan untuk menargetkan organisasi tambahan, para peneliti katanya.

Memanfaatkan Cacat VPN untuk Mengompromikan Jaringan Perusahaan

Vektor serangan utama yang digunakan oleh kelompok-kelompok Iran adalah eksploitasi kerentanan VPN yang belum ditambal untuk menembus dan mencuri informasi dari perusahaan target. Sistem VPN terkemuka yang dieksploitasi dengan cara ini termasuk Pulse Secure Connect (CVE-2019-11510), Global Protect Palo Alto Networks (CVE-2019-1579), Fortinet FortiOS (CVE-2018-13379), dan Citrix (CVE-2019- 19781).

ClearSky mencatat bahwa kelompok peretasan berhasil mendapatkan akses ke sistem inti target, menjatuhkan malware tambahan, dan menyebar secara lateral di seluruh jaringan dengan mengeksploitasi "kerentanan 1 hari dalam waktu yang relatif singkat."

Setelah berhasil mendapatkan pijakan awal, sistem yang dikompromikan itu ditemukan untuk berkomunikasi dengan server command-and-control (C2) penyerang-kontrol untuk mengunduh serangkaian file VBScript kustom yang, pada gilirannya, dapat digunakan untuk menanam di belakang rumah.

Selain itu, kode backdoor itu sendiri diunduh dalam potongan untuk menghindari deteksi oleh perangkat lunak antivirus yang diinstal pada komputer yang terinfeksi. Ini adalah tugas dari file yang diunduh terpisah – bernama "menggabungkan.bat" – untuk menyatukan file-file individual ini dan membuat file yang dapat dieksekusi.

Untuk melakukan tugas-tugas ini dan mencapai kegigihan, para aktor ancaman mengeksploitasi alat-alat seperti Juicy Potato dan Invoke the Hash untuk mendapatkan hak istimewa tingkat tinggi dan secara lateral bergerak melintasi jaringan. Beberapa alat lain yang dikembangkan oleh penyerang meliputi:

• STSRCheck – Alat untuk memetakan basis data, server, dan port terbuka di jaringan yang ditargetkan dan memaksa mereka dengan masuk dengan kredensial default.
• Port.exe – Alat untuk memindai port dan server yang telah ditentukan.

Setelah penyerang memenangkan kemampuan gerakan lateral, penyerang pindah ke tahap akhir: jalankan pintu belakang untuk memindai sistem yang dikompromikan untuk informasi yang relevan dan exfiltrate file kembali ke penyerang dengan membuat koneksi remote desktop (menggunakan alat yang dikembangkan sendiri yang disebut POWSSHNET ) atau membuka koneksi berbasis soket ke alamat IP hardcoded.

Selain itu, penyerang menggunakan kerang web untuk berkomunikasi dengan server yang berada di dalam target dan mengunggah file langsung ke server C2.

Pekerjaan Beberapa Kelompok Peretasan Iran

Berdasarkan pada penggunaan kampanye web shell dan tumpang tindih dengan infrastruktur serangan, laporan ClearSky menyoroti bahwa serangan terhadap server VPN mungkin terkait dengan tiga kelompok Iran – APT33 ("Elfin"), APT34 ("OilRig") dan APT39 (Chafer ).

Terlebih lagi, para peneliti menilai bahwa kampanye ini adalah hasil dari "kerja sama antara kelompok dalam infrastruktur," mengutip kesamaan dalam alat dan metode kerja di ketiga kelompok.

Baru bulan lalu, peretas yang didukung negara Iran – dijuluki "Magnallium" – ditemukan melakukan serangan penyemprotan kata sandi yang menargetkan utilitas listrik AS serta perusahaan minyak dan gas.

Mengingat bahwa para penyerang sedang mempersenjatai kelemahan VPN dalam waktu 24 jam, sangat penting bagi organisasi untuk memasang patch keamanan saat dan ketika tersedia.

Selain mengikuti prinsip hak istimewa yang paling rendah, ia juga mengatakan bahwa sistem kritis dipantau secara terus-menerus dan selalu diperbarui. Menerapkan otentikasi dua langkah dapat membantu meminimalkan login yang tidak sah.