Analis memperingatkan bahwa kelompok penyerang, yang sekarang dikenal sebagai ‘Earth Centaur,’ sedang mengasah serangannya untuk mengejar transportasi dan lembaga pemerintah.
Mereka telah menjadi kelompok ancaman aktif sejak 2011, tetapi peningkatan aktivitas baru-baru ini dari Earth Centaur – sebelumnya dikenal sebagai Tropic Trooper – yang ditujukan khusus untuk transportasi dan lembaga pemerintah memicu lonceng alarm di antara para ahli.
Peneliti Trend Micro telah melacak kebangkitan Tropic Trooper, yang dimulai pada Juli 2020 dan baru-baru ini termasuk upaya mengganggu untuk melanggar data sensitif terkait transportasi seperti jadwal penerbangan dan dokumen perencanaan keuangan.
Para analis dapat menghubungkan aktivitas Earth Centaur yang baru dengan Tropic Trooper setelah menemukan kode serupa dalam decoding konfigurasi, mereka melaporkan.
“Saat ini, kami belum menemukan kerusakan substansial pada para korban ini yang disebabkan oleh kelompok ancaman,” jelas analis Trend Micro. “Namun, kami percaya bahwa itu akan terus mengumpulkan informasi internal dari para korban yang dikompromikan dan hanya menunggu kesempatan untuk menggunakan data ini.”
Taktik, teknik, dan prosedur (TTPs) ciri khas kelompok itu termasuk kerja tim merah yang cerdas, catat para peneliti. Earth Centaur mahir melewati keamanan dan bertahan tanpa terdeteksi, tambah laporan itu.
“Tergantung pada targetnya, ia menggunakan pintu belakang dengan protokol yang berbeda, dan juga dapat menggunakan proxy terbalik untuk melewati pemantauan sistem keamanan jaringan. Penggunaan kerangka kerja sumber terbuka juga memungkinkan grup untuk mengembangkan varian pintu belakang baru secara efisien. ”
Biasanya, kelompok ancaman melanggar sistem target melalui server Exchange atau Internet Information Services (IIS) yang rentan, diikuti dengan menjatuhkan backdoor seperti ChiserClient dan SmileSvr, kata laporan itu.
Selengkapnya: Threat Post
