Sebuah subkelompok dari grup peretasan yang disponsori negara Rusia APT44, juga dikenal sebagai ‘Seashell Blizzard’ dan ‘Sandworm’, telah menargetkan organisasi kritis dan pemerintah dalam kampanye multi-tahun yang dijuluki ‘Badpilot.’
Aktor ancaman telah aktif sejak setidaknya tahun 2021 dan juga bertanggung jawab untuk melanggar jaringan organisasi dalam sektor -sektor manufaktur energi, minyak dan gas, telekomunikasi, pengiriman, dan senjata.
Tim Intelijen Ancaman Microsoft mengatakan bahwa aktor tersebut berdedikasi untuk mencapai akses awal ke sistem target, membangun kegigihan, dan mempertahankan kehadiran untuk memungkinkan orang lain Apt44 Subkelompok dengan keahlian pasca-kompromi untuk mengambil alih.
“Kami juga telah mengamati subkelompok akses awal untuk mengejar akses ke organisasi sebelum serangan kerang yang terkait dengan badai salju,” kata laporan Microsoft yang dibagikan dengan BleepingComputer.
Penilaian Microsoft adalah “bahwa Seashell Blizzard menggunakan subkelompok akses awal ini untuk secara horizontal mengukur operasi mereka sebagai eksploitasi baru diperoleh dan untuk mempertahankan akses yang terus -menerus ke sektor -sektor minat saat ini dan masa depan yang menarik bagi Rusia.”
Ruang lingkup penargetan
Pengamatan Microsoft yang paling awal terhadap aktivitas subkelompok menunjukkan operasi oportunistik yang menargetkan Ukraina, Eropa, Asia Tengah dan Selatan, dan Timur Tengah, Berfokus pada sektor kritis.
Mulai tahun 2022, setelah invasi Rusia ke Ukraina, subkelompok ini mengintensifkan operasinya terhadap infrastruktur kritis yang mendukung Ukraina, termasuk sektor pemerintah, militer, transportasi, dan logistik.
Intrusi mereka ditujukan untuk pengumpulan intelijen, gangguan operasional, dan serangan wiper ditujukan data rusak di sistem yang ditargetkan.
“Kami menilai bahwa subkelompok ini kemungkinan memungkinkan setidaknya tiga serangan siber yang merusak di Ukraina sejak 2023,” menyebutkan Microsoft mengenai aktivitas spesifik subkelompok.
Pada tahun 2023, ruang lingkup penargetan subkelompok telah meluas, melakukan kompromi skala besar di seluruh Eropa, Amerika Serikat, dan Timur Tengah, dan pada tahun 2024, ia mulai berfokus pada Amerika Serikat, Inggris, Kanada, dan Australia.
Sumber: Microsoft
Akses awal dan aktivitas pasca-kompromi
Subkelompok APT44 menggunakan beberapa teknik untuk mengkompromikan jaringan, termasuk mengeksploitasi kerentanan n-hari dalam infrastruktur yang menghadap internet, pencurian kredensial, dan serangan rantai pasokan.
Serangan rantai pasokan sangat efektif terhadap organisasi di seluruh Eropa dan Ukrainadi mana peretas yang menargetkan penyedia layanan TI regional mengelola dan kemudian mengakses banyak klien.
Microsoft telah mengamati pemindaian jaringan dan upaya eksploitasi selanjutnya dari kerentanan berikut:
- CVE-2021-34473 (Microsoft Exchange)
- CVE-2022-41352 (Zimbra Collaboration Suite)
- CVE-2023-32315 (OpenFire)
- CVE-2023-42793 (JetBrains TeamCity)
- CVE-2023-23397 (Microsoft Outlook)
- CVE-2024-1709 (ConnectWise Screenconnect)
- CVE-2023-48788 (EMS Fortinet Forticlient)
Setelah mengeksploitasi kerentanan di atas untuk mendapatkan akses, para peretas menetapkan kegigihan dengan menggunakan cangkang web khusus seperti ‘LocalOlive’.
Pada tahun 2024, subkelompok APT44 mulai menggunakan alat manajemen jarak jauh TI yang sah seperti Atera Agent dan Splashtop Remote Services untuk melaksanakan perintah pada sistem yang dikompromikan sambil berpose saat itu untuk menghindari deteksi.
Mengenai aktivitas akses pasca-inisial, para aktor ancaman menggunakan Procdump atau Windows Registry untuk mencuri kredensial, dan rclone, pahat, dan plink untuk exfiltration data melalui terowongan jaringan rahasia.
.jpg)
Sumber: Microsoft
Para peneliti mengamati teknik baru pada tahun 2024 ketika aktor ancaman mengarahkan lalu lintas melalui jaringan Tor “secara efektif mencelupkan semua koneksi masuk ke aset yang terkena dampak dan membatasi paparan baik dari aktor dan lingkungan korban.”
Akhirnya, subkelompok melakukan gerakan lateral untuk mencapai semua bagian jaringan yang dapat dilakukan, dan memodifikasi infrastruktur seperti yang diperlukan untuk operasinya.
Modifikasi termasuk manipulasi konfigurasi DNS, pembuatan layanan baru dan tugas yang dijadwalkan, dan konfigurasi akses backdoor menggunakan OpenSSH dengan kunci publik yang unik.
Microsoft mengatakan bahwa subkelompok peretas Rusia memiliki “jangkauan dekat-global” dan membantu kerang Blizzard memperluas penargetan geografisnya.
Dalam laporan yang diterbitkan hari ini, para peneliti berbagi pertanyaan perburuan, indikator kompromi (IOC), dan aturan Yara bagi para pembela untuk menangkap aktivitas aktor ancaman ini dan menghentikannya sebelumnya.
