Anomalous

Para peneliti telah menemukan beberapa kampanye spyware yang menargetkan perusahaan industri, yang bertujuan untuk mencuri kredensial akun email dan melakukan penipuan keuangan atau menjualnya kembali kepada aktor lain.

Para aktor menggunakan alat spyware yang tersedia tetapi hanya menggunakan setiap varian untuk waktu yang sangat terbatas untuk menghindari deteksi.

Contoh malware yang digunakan dalam serangan termasuk AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult, dan Lokibot.

Serangan spyware ini disebut ‘anomali’ karena sifatnya yang berumur sangat pendek yaitu sekitar 25 hari, sedangkan sebagian besar kampanye spyware berlangsung selama beberapa bulan atau bahkan bertahun-tahun.

Durasi serangan dibandingkan dengan statistik dari semua deteksi
Sumber: Kaspersky

Jumlah sistem yang diserang dalam kampanye ini selalu di bawah seratus, setengahnya adalah mesin ICS (sistem komputer terintegrasi) yang digunakan di lingkungan industri.

Elemen lain yang tidak biasa adalah menggunakan protokol komunikasi berbasis SMTP untuk mengekstrak data ke server C2 yang dikendalikan aktor.

SMTP adalah saluran satu arah yang hanya melayani pencurian data, SMTP berkembang melalui kesederhanaan dan kemampuannya untuk berbaur dengan lalu lintas jaringan biasa.

Mencuri kredensial untuk melanjutkan infiltrasi
Para aktor menggunakan kredensial karyawan curian yang mereka peroleh melalui spear-phishing untuk menyusup lebih dalam dan bergerak secara lateral di jaringan perusahaan.

Selain itu, mereka menggunakan kotak surat perusahaan yang dikompromikan dalam serangan sebelumnya sebagai server C2 untuk serangan baru, membuat deteksi dan penandaan korespondensi internal berbahaya menjadi sangat menantang.

Dalam hal jumlah, para analis mengidentifikasi setidaknya 2.000 akun email perusahaan yang disalahgunakan sebagai server C2 sementara dan 7.000 akun email lainnya disalahgunakan dengan cara lain.

Menjual di pasar Darkweb
Banyak kredensial akun RDP, SMTP, SSH, cPanel, dan VPN email yang dicuri dalam kampanye ini diposting di pasar web gelap dan akhirnya dijual ke pelaku ancaman lainnya.

Menurut analisis statistik Kaspersky, sekitar 3,9% dari semua akun RDP yang dijual di pasar ilegal ini adalah milik perusahaan industri.

Akun RDP (protokol desktop jarak jauh) sangat berharga bagi penjahat dunia maya karena memungkinkan mereka mengakses mesin yang disusupi dari jarak jauh dan berinteraksi langsung dengan perangkat tanpa menimbulkan tanda bahaya.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Anomalous

Cookies Settings