Serangan ini mencerminkan pola serangan ScreenConnect selama tiga tahun terakhir yang dilacak oleh Sophos MDR dengan kode STAC4365.
Pada akhir Januari 2025, seorang administrator dari Managed Service Provider (MSP) menerima email phishing yang dirancang dengan baik, yang tampak seperti peringatan autentikasi untuk alat Remote Monitoring and Management (RMM) mereka, ScreenConnect. Email tersebut memungkinkan pelaku ransomware Qilin untuk mendapatkan kredensial admin, dan meluncurkan serangan ransomware terhadap pelanggan MSP tersebut.
Tim intelijen ancaman dari Sophos MDR menilai dengan tingkat keyakinan tinggi bahwa insiden ini dilakukan oleh salah satu afiliasi ransomware yang aktivitasnya dilacak dengan kode STAC4365. Serangan ini menggunakan infrastruktur, pola penamaan domain, teknik, alat, dan praktik yang sama dengan yang digunakan dalam kampanye phishing lainnya yang telah dilacak Sophos sejak akhir 2022. Upaya tersebut menggunakan situs phishing yang dibangun dengan kerangka kerja evilginx, sebuah alat serangan “man-in-the-middle” sumber terbuka, untuk mencuri kredensial dan cookie sesi, serta untuk menembus autentikasi multi-faktor (MFA).
Dalam kasus ini, seperti dalam insiden lain yang terkait dengan klaster ancaman ini, penyerang menggunakan domain palsu ScreenConnect sebagai proksi ke proses login ScreenConnect yang asli. Ketika administrator mengklik tautan login dalam email untuk memeriksa autentikasi, mereka diarahkan ke situs phishing berbahaya, cloud.screenconnect[.]com.ms, yang meniru halaman login asli ScreenConnect. Setelah kredensial dimasukkan ke situs palsu ini, penyerang mengintersepsi informasi tersebut. Sophos meyakini bahwa situs palsu tersebut memproksikan input ke situs asli ScreenConnect untuk memverifikasi kredensial dan mengambil kata sandi satu kali berbasis waktu (TOTP) yang dikirim oleh ScreenConnect ke email administrator.
Setelah mendapatkan input MFA, penyerang berhasil melakukan autentikasi ke portal ScreenConnect Cloud yang sah menggunakan akun super administrator milik korban. Ini memberikan akses penuh dan menyebabkan peluncuran serangan ransomware Qilin.
Latar Belakang: Qilin
Qilin adalah program Ransomware-as-a-Service (RaaS) yang telah beroperasi sejak tahun 2022, sebelumnya dikenal dengan nama “Agenda”. Grup Qilin merekrut afiliasi melalui forum kejahatan siber berbahasa Rusia. Menurut Microsoft Threat Intelligence, afiliasi mereka kini juga mencakup aktor negara Korea Utara yang diberi nama “Moonstone Sleet” oleh Microsoft.
Ransomware Qilin menggunakan situs kebocoran data di jaringan Tor untuk memberikan tekanan kepada korban. Pada Mei 2024, tekanan ini diperluas ke internet terbuka melalui situs bernama “WikiLeaksV2”, yang digunakan untuk mempublikasikan data curian. Situs ini di-host oleh penyedia layanan internet asal Rusia yang sebelumnya dikaitkan dengan aktivitas command-and-control (C2), hosting malware, dan phishing. Situs ini masih aktif dan tercantum dalam catatan tebusan dalam insiden ini.
Gambar 2: Situs kebocoran data Qilin yang dihosting di Tor menampilkan kode QR dan tautan ke halaman WikiLeaksV2
Latar Belakang: STAC4365
STAC4365 adalah identitas yang dikaitkan dengan pola aktivitas phishing yang telah terjadi sejak November 2022. Situs-situs phishing yang termasuk dalam klaster ini memiliki struktur URL dan tampilan situs yang serupa, dan menggunakan domain yang meniru URL resmi ScreenConnect untuk menjebak korban.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!