BLUEBOTTLE Cybercrime Group Memangsa Sektor Keuangan di Negara-negara Afrika yang Berbahasa Perancis
BLUEBOTTLE Cybercrime Group Memangsa Sektor Keuangan di Negara-negara Afrika yang Berbahasa Perancis
Ravie Lakshmanan
Dari setidaknya Juli 2022 hingga September 2022, kelompok kejahatan dunia maya yang dikenal sebagai Bluebottle telah dikaitkan dengan serangkaian serangan yang ditargetkan pada sektor keuangan di negara-negara Afrika berbahasa Prancis.
"Grup ini secara ekstensif menggunakan peralatan hidup-di-luar-tanah, alat penggunaan ganda, dan malware komoditas, tanpa malware khusus yang digunakan dalam kampanye ini," Symantec, sebuah divisi dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News.
Menurut perusahaan keamanan siber, aktivitas tersebut tumpang tindih dengan klaster ancaman yang dikenal sebagai OPERA1ER, yang melakukan lusinan serangan terhadap bank, layanan keuangan, dan perusahaan telekomunikasi di Afrika, Asia, dan Amerika Latin antara tahun 2018 dan 2022.
Atribusi didasarkan pada kesamaan dalam perangkat yang digunakan, infrastruktur serangan, kurangnya malware yang dipesan lebih dahulu, dan penargetan negara-negara Afrika yang berbahasa Prancis. Tiga lembaga keuangan yang tidak disebutkan namanya di tiga negara Afrika dilanggar, tetapi tidak jelas apakah Bluebottle dapat memonetisasi serangan tersebut.
Selama periode empat tahun, musuh yang bermotivasi finansial, juga dikenal sebagai DESKTOP-GROUP, telah bertanggung jawab atas serangkaian perampokan senilai $11 juta, dengan kerusakan aktual melebihi $30 juta.
Serangan baru-baru ini menunjukkan taktik grup yang berkembang, seperti menggunakan malware siap pakai yang disebut GuLoader pada tahap awal rantai infeksi dan mempersenjatai driver kernel untuk menonaktifkan pertahanan keamanan.
Symantec menyatakan bahwa itu tidak dapat mengidentifikasi vektor intrusi awal, tetapi mendeteksi file bertema pekerjaan di jaringan korban, menunjukkan bahwa umpan phishing terkait perekrutan kemungkinan besar digunakan untuk mengelabui target agar membuka lampiran email berbahaya.
Selanjutnya, pada pertengahan Mei 2022, terdeteksi serangan yang melibatkan pengiriman malware pencuri informasi dalam bentuk file ZIP yang berisi file screen saver (.SCR) yang dapat dieksekusi. Penggunaan file gambar cakram optik (.ISO), yang telah digunakan oleh banyak pelaku ancaman sebagai sarana untuk mendistribusikan malware, juga diamati pada Juli 2022.
"Jika aktor Bluebottle dan OPERA1ER memang sama, ini menyiratkan bahwa mereka mengganti teknik infeksi antara Mei dan Juli 2022," tulis para peneliti.
Lampiran spear-phishing menyebabkan pemasangan GuLoader, yang kemudian bertindak sebagai saluran untuk pemasangan muatan tambahan pada mesin, seperti Netwire, Quasar RAT, dan Cobalt Strike Beacon. Alat seperti PsExec dan SharpHound mempermudah gerakan lateral.
Teknik lain yang digunakan oleh grup tersebut adalah penggunaan driver pembantu yang ditandatangani untuk menghentikan perangkat lunak keamanan, sebuah metode yang telah digunakan oleh beberapa grup peretasan untuk tujuan serupa, menurut temuan Mandiant, SentinelOne, dan Sophos bulan lalu.
Fakta bahwa beberapa kelompok penjahat dunia maya telah menggunakan driver yang sama (dijuluki MISKIN oleh Mandiant) memberikan kepercayaan pada teori bahwa pelaku ancaman ini menggunakan layanan penandatanganan kode untuk mendapatkan malware mereka melewati mekanisme pengesahan.
Dengan pelaku ancaman yang diduga berbahasa Prancis, kemungkinan serangan itu dapat meluas ke negara-negara berbahasa Prancis lainnya di seluruh dunia, perusahaan memperingatkan.
"Keefektifan kampanyenya membuat Bluebottle tidak mungkin menghentikan aktivitas ini," kata para peneliti. "Tampaknya sangat terfokus pada negara-negara berbahasa Prancis di Afrika, jadi lembaga keuangan di negara-negara ini harus tetap waspada."
Komentar
Posting Komentar