Serangan Seedworm/Powermud Merajalela, 30 Perusahaan Jadi Korban

Jumat, 14 Des 2018 | 18.00 WIB

Serangan Seedworm/Powermud Merajalela, 30 Perusahaan Jadi Korban

statistik serangan Seedworm/Powermud (Symantec)


Centroone.com - Peneliti Symantec menemukan adanya sebuah kelompok spionase siber yang merupakan dalang di balik serangkaian serangan siber terkini yang dirancang untuk mengumpulkan intelijen tentang setiap target yang tersebar terutama di wilayah Timur Tengah, serta di Eropa dan Amerika Utara. Kelompok bernama Seedworm (alias MuddyWater), telah beroperasi setidaknya sejak tahun 2017, di mana aktivitas terbarunya terdeteksi di bulan Desember 2018.

Para korban dari serangan Seedworm yang berhasil diamati terutama berlokasi di Pakistan dan Turki, serta terdapat juga di Rusia, Arab Saudi, Afghanistan, Yordania, dan lainnya. Selain itu, kelompok tersebut juga menginfeksi perusahaan di Eropa dan Amerika Utara yang memiliki hubungan dengan Timur Tengah.  Grup ini masih sangat aktif dengan lebih dari 130 korban di 30 perusahaan yang diserang sejak bulan September 2018

Para analis di tim DeepSight Managed Adversary dan Threat Intelligence (MATI) Symantec mengungkapkan  telah menemukan backdoor baru, Backdoor.Powemuddy, yang merupakan varian baru backdoor Powermud (alias POWERSTATS) dari Seedworm, yaitu repositori GitHub yang digunakan oleh kelompok ini untuk menyimpan skrip mereka, serta beberapa tool pascainfiltrasi yang digunakan oleh kelompok ini untuk mengeksploitasi korban setelah mereka berhasil membuat pijakan di jaringan mereka.

Pada bulan September 2018, Symantec menemukan bukti serangan Seedworm dan kelompok spionase APT28 (alias Swallowtail, Fancy Bear), pada sebuah komputer milik kantor kedutaan Brazil di sebuah negara penghasil minyak.  Symantec - berkat akses terhadap telemetri yang luas melalui Global Intelligence Network dapat melacak pergerakan yang dilakukan oleh Seedworm setelah grup penyerang ini berhasil masuk ke jaringan. 

Symantec menemukan varian baru backdoor Powermud, sebuah backdoor baru (Backdoor.Powemuddy), dan tool khusus untuk mencuri kata sandi, membuat reverse shell, eskalasi hak istimewa, serta penggunaan tool pembuatan cabinet Windows native, makecab.exe, yang mungkin digunakan untuk mengkompresi data yang dicuri agar dapat diunggah. Pelanggan DeepSight MATI dapat memanfaatkan informasi bermanfaat ini untuk memberantas ancaman siber. 

" Motivasi-motivasi di balik serangan Seedworm sangat mirip dengan motivasi dari kebanyakan kelompok spionase siber yang kami amati. Mereka berusaha untuk mendapatkan informasi yang dapat ditindaklanjuti tentang perusahaan dan individu yang menjadi target. Mereka mampu melakukan ini dengan mengutamakan kecepatan dan kelincahan dibandingkan keamanan operasional, yang akhirnya memampukan kami untuk mengidentifikasi infrastruktur operasional utama mereka. " ungkap Symantec dalam laporannya.  by