Grup Analisis Ancaman Google (TAG) pada hari Kamis mengungkapkan telah bertindak untuk memblokir sebanyak 36 domain berbahaya yang dioperasikan oleh kelompok peretasan dari India, Rusia, dan UEA.
Dengan cara yang analog dengan ekosistem surveillanceware, perusahaan hack-for-hire melengkapi klien mereka dengan kemampuan untuk mengaktifkan serangan yang ditargetkan yang ditujukan untuk perusahaan serta aktivis, jurnalis, politisi, dan pengguna berisiko tinggi lainnya.
Di mana keduanya berdiri terpisah adalah bahwa sementara pelanggan membeli spyware dari vendor komersial dan kemudian menyebarkannya sendiri, operator di balik serangan hack-for-hire diketahui melakukan intrusi atas nama klien mereka untuk mengaburkan peran mereka.
“Lanskap hack-for-hire lancar, baik dalam cara penyerang mengatur diri mereka sendiri maupun dalam berbagai target yang mereka kejar dalam satu kampanye atas perintah klien yang berbeda,” Shane Huntley, direktur Google TAG, mengatakan dalam sebuah laporan.
“Beberapa penyerang hack-for-hire secara terbuka mengiklankan produk dan layanan mereka kepada siapa pun yang bersedia membayar, sementara yang lain beroperasi lebih diam-diam menjual kepada audiens yang terbatas.”
Sebuah kampanye baru-baru ini yang dilakukan oleh operator hack-for-hire India dikatakan telah menargetkan sebuah perusahaan IT di Siprus, sebuah lembaga pendidikan di Nigeria, sebuah perusahaan fintech di Balkan, dan sebuah perusahaan perbelanjaan di Israel, menunjukkan luasnya korban.
Pakaian India, yang menurut Google TAG telah dilacak sejak 2012, telah dikaitkan dengan serangkaian serangan phishing kredensial dengan tujuan mengumpulkan informasi login yang terkait dengan lembaga pemerintah, Amazon Web Services (AWS), dan akun Gmail.
Kampanye ini melibatkan pengiriman email spear-phishing yang berisi tautan jahat yang, ketika diklik, meluncurkan halaman phishing yang dikendalikan penyerang yang dirancang untuk menyedot kredensial yang dimasukkan oleh pengguna yang tidak curiga. Target termasuk sektor pemerintah, kesehatan, dan telekomunikasi di Arab Saudi, Uni Emirat Arab, dan Bahrain.
Google TAG menghubungkan aktor-aktor yang disewa dari India dengan sebuah perusahaan bernama Rebsec, yang menurut perusahaannya tidak aktif. Akun Twitter, adalah kependekan dari “Rebellion Securities” dan berbasis di kota Amritsar. Situs web perusahaan, untuk “pemeliharaan” pada saat penulisan, juga mengklaim menawarkan layanan spionase perusahaan.
Serangkaian serangan pencurian kredensial serupa yang menargetkan jurnalis, politisi Eropa, dan organisasi nirlaba telah dikaitkan dengan aktor Rusia yang dijuluki Void Balaur, kelompok tentara bayaran dunia maya yang pertama kali didokumentasikan oleh Trend Micro pada November 2021.
Selama lima tahun terakhir, kolektif tersebut diyakini telah memilih akun di penyedia email web utama seperti Gmail, Hotmail, dan Yahoo! dan penyedia email web regional seperti abv.bg, mail.ru, inbox.lv, dan UKR.net.
Terakhir, TAG juga merinci aktivitas grup yang berbasis di UEA dan memiliki koneksi ke pengembang asli trojan akses jarak jauh yang disebut njRAT (alias H-Worm atau Houdini).
Serangan phishing, seperti yang sebelumnya ditemukan oleh Amnesty International pada tahun 2018, melibatkan penggunaan umpan reset kata sandi untuk mencuri kredensial dari target di pemerintahan, pendidikan, dan organisasi politik di Timur Tengah dan Afrika Utara.
Setelah akun disusupi, pelaku ancaman mempertahankan kegigihannya dengan memberikan token OAuth ke aplikasi email yang sah seperti Thunderbird, membuat Kata Sandi Aplikasi untuk mengakses akun melalui IMAP, atau menautkan akun Gmail korban ke akun milik musuh di pihak ketiga- penyedia surat partai.
Temuan ini muncul seminggu setelah Google TAG mengungkapkan rincian perusahaan spyware Italia bernama RCS Lab, yang alat peretas “Hermit”-nya digunakan untuk menargetkan pengguna Android dan iOS di Italia dan Kazakhstan.