ArenaLTE.com - Baru-baru ini para peneliti di Symantec menemukan informasi penting mengenai sebuah kelompok spionase siber yang khusus melakukan serangkaian serangan siber untuk mengumpulkan data intelijen target yang tersebar terutama di wilayah Timur Tengah, serta di Eropa dan Amerika Utara.
Kelompok ini disebutSeedworm (alias MuddyWater), telah beroperasi setidaknya sejak tahun 2017, di mana aktivitas terbarunya terdeteksi di bulan Desember 2018.
Para analis di tim DeepSight Managed Adversary dan Threat Intelligence (MATI) kami telah menemukan backdoor baru, Backdoor.Powemuddy, yang merupakan varian baru backdoor Powermud (alias POWERSTATS) dari Seedworm.
Bacdoor ini merupakan repositori GitHub yang digunakan oleh kelompok ini untuk menyimpan skrip mereka, serta beberapa tool pascainfiltrasi yang digunakan untuk mengeksploitasi korban setelah mereka berhasil memasuki jaringan.
September 2018 lalu, Symantec menemukan bukti serangan Seedworm dan kelompok spionase APT28 (alias Swallowtail, Fancy Bear), pada sebuah komputer milik kantor kedutaan Brazil.
Tidak hanya menemukan titik masuk awal, Symantec dapat mengikuti aktivitas lanjutan Seedworm setelah infeksi awal karena Symantec memiliki akses terhadap telemetri yang luas melalui Global Intelligence Network.
Berkat visibilitas unik ini, para analis Symantec dapat melacak pergerakan yang dilakukan oleh Seedworm dan menemukan varian baru backdoor Powermud.
Backdoor baru (Backdoor.Powemuddy) juga tool khusus untuk mencuri kata sandi, membuat reverse shell, eskalasi hak istimewa, serta penggunaan tool pembuatan cabinet Windows native, makecab.exe, yang mungkin digunakan untuk mengkompresi data yang dicuri agar dapat diunggah.
Motivasi-motivasi di balik serangan Seedworm sangat mirip dengan motivasi dari kebanyakan kelompok spionase siber lainnya. Mereka berusaha untuk mendapatkan informasi yang dapat ditindaklanjuti tentang perusahaan dan individu yang menjadi target.
Menurut Symantec, 131 korban yang diserang oleh backdoor Powermud Seedworm mulai dari akhir September hingga pertengahan November 2018.
Sektor industri yang menjadi sasaran serangan sebanyak 80 dari 131 korban. Sektor telekomunikasi dan layanan TI adalah target utama.
Kelompok korban yang paling umum berikutnya berasal dari sektor pertambangan (minyak dan gas). Universitas dan kedutaan juga organisasi nonpemerintah (LSM) besar juga adalah target paling umum berikutnya.
Para korban dari serangan Seedworm yang berhasil diamati terutama berlokasi di Pakistan dan Turki, serta terdapat juga di Rusia, Arab Saudi, Afghanistan, Yordania, dan lainnya.
Selain itu, kelompok tersebut juga menginfeksi perusahaan di Eropa dan Amerika Utara yang memiliki hubungan dengan Timur Tengah.