Kelompok peretas yang didukung oleh pemerintah Iran yang dikenal sebagai APT 33 telah aktif selama lebih dari 10 tahun, melakukan operasi spionase agresif terhadap berbagai korban sektor publik dan swasta di seluruh dunia, termasuk target infrastruktur kritis. Dan meskipun kelompok ini terkenal dengan serangan strategis namun sederhana secara teknis seperti “password spraying,” mereka juga telah mencoba mengembangkan alat peretasan yang lebih canggih, termasuk malware yang berpotensi merusak yang dirancang untuk mengganggu sistem kontrol industri. Sekarang, temuan dari Microsoft yang dirilis pada hari Rabu menunjukkan bahwa kelompok ini terus mengembangkan teknik mereka dengan sebuah backdoor multistage baru.
Microsoft Threat Intelligence mengatakan bahwa kelompok tersebut, yang mereka sebut sebagai Peach Sandstorm, telah mengembangkan malware kustom yang dapat digunakan oleh penyerang untuk mendirikan akses jarak jauh ke jaringan korban. Backdoor, yang dinamai “Tickler” oleh Microsoft atas suatu alasan, menginfeksi target setelah kelompok peretasan mendapatkan akses awal melalui password spraying atau rekayasa sosial. Mulai dari bulan April hingga bulan Juli, para peneliti mengamati Peach Sandstorm menggunakan backdoor tersebut terhadap korban di sektor-sektor termasuk satelit, peralatan komunikasi, dan minyak dan gas. Microsoft juga mengatakan bahwa kelompok tersebut telah menggunakan malware tersebut untuk menargetkan entitas pemerintah federal dan negara bagian di Amerika Serikat dan Uni Emirat Arab.
“Malware Tickler tidak selalu merupakan langkah besar dalam taktik, teknik, dan prosedur untuk pelaku ancaman ini, tetapi itu mewakili fokus pengembangan yang jelas dan aktif untuk bertindak pada tujuan,” kata Sherrod DeGrippo, direktur threat intelligence Microsoft, kepada WIRED dalam sebuah pernyataan.
Para peneliti mengamati Peach Sandstorm menggunakan Tickler dan kemudian memanipulasi infrastruktur cloud Azure korban menggunakan langganan Azure para peretas untuk mendapatkan kendali penuh atas sistem target. Microsoft mengatakan bahwa mereka telah memberitahu pelanggan yang terkena dampak oleh penargetan tersebut.
Baca juga: Kelompok tersebut juga melanjutkan serangkaian serangan password spraying berkecepatan rendah, menurut Microsoft, di mana peretas mencoba mengakses banyak akun target dengan menebak password yang bocor atau umum sampai salah satunya membiarkan mereka masuk. Peach Sandstorm telah menggunakan teknik ini untuk mendapatkan akses ke sistem target baik untuk menginfeksinya dengan backdoor Tickler maupun untuk jenis operasi spionase lainnya. Sejak Februari 2023, para peneliti mengatakan bahwa mereka telah mengamati para peretas “melakukan aktivitas password spray terhadap ribuan organisasi.” Dan pada bulan April dan Mei 2024, Microsoft mengamati Peach Sandstorm menggunakan password spraying untuk menargetkan organisasi di Amerika Serikat dan Australia yang berada di sektor-sektor ruang angkasa, pertahanan, pemerintah, dan pendidikan.
“Peach Sandstorm juga terus melakukan serangan password spray terhadap sektor pendidikan untuk pengadaan infrastruktur dan terhadap sektor satelit, pemerintah, dan pertahanan sebagai target utama untuk pengumpulan intelijen,” tulis Microsoft.
Para peneliti mengatakan bahwa, selain aktivitas ini, kelompok tersebut terus melakukan operasi rekayasa sosial pada jaringan sosial profesional milik Microsoft, LinkedIn, yang mereka katakan bermula setidaknya sejak November 2021 dan telah berlanjut hingga pertengahan 2024. Microsoft mengamati kelompok tersebut membuat profil LinkedIn yang mengaku sebagai mahasiswa, pengembang perangkat lunak, dan manajer akuisisi bakat yang seharusnya berbasis di AS dan Eropa Barat.
“Peach Sandstorm terutama menggunakan [akun ini] untuk melakukan pengumpulan intelijen dan rekayasa sosial yang mungkin terhadap sektor pendidikan tinggi, sektor satelit, dan industri terkait,” tulis Microsoft. “Akun LinkedIn yang diidentifikasi kemudian dihapus.”
DeGrippo dari Microsoft menunjukkan bahwa meskipun kampanye baru ini patut diperhatikan, Peach Sandstorm telah menargetkan industri luar angkasa sebelumnya.
“Ini bukan kali pertama Peach Sandstorm menunjukkan minat dalam penargetan yang berkaitan dengan satelit. Pelaku ancaman ini telah mengejar organisasi di sektor satelit, pertahanan, dan farmasi di seluruh dunia,” kata DeGrippo. “Backdoor ini adalah malware kustom dengan beberapa iterasi. Ini menunjukkan fokus dan komitmen untuk memanfaatkan malware untuk tujuan tertentu.”
Peretas Iran telah produktif dan agresif di panggung internasional selama bertahun-tahun dan tidak menunjukkan tanda-tanda melambat. Pada awal bulan ini, laporan muncul bahwa kelompok Iran yang berbeda telah menargetkan siklus pemilihan AS 2024, termasuk serangan terhadap kampanye Trump dan Harris.
Diperbarui pada pukul 5:35 sore ET, 28 Agustus 2024: Ditambahkan komentar dari direktur threat intelligence Microsoft.