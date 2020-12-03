Keamanan Operasi bisnis

IBM® mengungkap kampanye phishing global yang menargetkan rantai dingin vaksin COVID 19.

Dokter menyusun vaksin dari botol

Penulis

Claire Zaboeva

Senior Strategic Cyber Threat Analyst

IBM

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Pada awal pandemi COVID 19, IBM® Security X-Force menciptakan satuan tugas intelijen ancaman khusus untuk melacak ancaman siber COVID 19 terhadap organisasi yang menjaga rantai pasokan vaksin tetap bergerak. Sebagai bagian dari upaya ini, tim kami baru-baru ini menemukan kampanye phishing global yang menargetkan organisasi yang terkait dengan rantai dingin COVID 19. Rantai dingin adalah komponen dari rantai pasokan vaksin yang memastikan pengawetan vaksin yang aman di lingkungan yang terkendali suhunya selama penyimpanan dan pengangkutan.

Analisis kami menunjukkan bahwa operasi yang dihitung ini dimulai pada September 2020. Kampanye phishing COVID 19 menjangkau enam negara dan menargetkan organisasi yang kemungkinan terkait dengan Gavi, programCold Chain Equipment Optimization Platform (CCEOP) milik The Vaccine Alliance, yang kami jelaskan lebih lanjut di blog ini. Meskipun atribusi yang pasti tidak dapat dibuat untuk kampanye ini, penargetan yang tepat terhadap para eksekutif dan organisasi-organisasi global utama memiliki potensi ciri khas perdagangan negara-bangsa.

Beberapa detail dari analisis IBM® Security X-Force tentang kegiatan ini meliputi:

  • Cerita sampul — Musuh menyamar sebagai eksekutif bisnis dari Haier Biomedical, perusahaan anggota yang kredibel dan sah dari rantai pasokan vaksin COVID 19 dan pemasok yang memenuhi syarat untuk program CCEOP. Perusahaan ini konon merupakan satu-satunya penyedia rantai dingin terlengkap di dunia. Menyamar sebagai karyawan ini, musuh mengirim email phishing ke organisasi yang diyakini sebagai penyedia dukungan material untuk memenuhi kebutuhan transportasi dalam rantai dingin COVID-19. Kami menilai bahwa tujuan kampanye phishing COVID 19 ini mungkin untuk memanen kredensial, mungkin untuk mendapatkan akses tidak sah di masa mendatang ke jaringan perusahaan dan informasi sensitif yang berkaitan dengan distribusi vaksin COVID 19.
  • Target — Target termasuk Direktorat Jenderal Perpajakan dan Serikat Pabean Komisi Eropa, serta organisasi dalam sektor energi, manufaktur, pembuatan situs web dan perangkat lunak dan solusi keamanan internet. Ini adalah organisasi global yang berkantor pusat di Jerman, Italia, Korea Selatan, Republik Ceko, Eropa dan Taiwan.
  • Cara — email phishing tombak dikirim ke eksekutif terpilih dalam posisi penjualan, pengadaan, teknologi informasi dan keuangan, kemungkinan terlibat dalam upaya perusahaan untuk mendukung rantai dingin vaksin. Kami juga mengidentifikasi contoh di mana aktivitas ini diperluas ke seluruh organisasi untuk menyertakan halaman bantuan dan dukungan dari organisasi yang ditargetkan.

IBM® Security X-Force telah mengikuti protokol pengungkapan yang bertanggung jawab dan memberi tahu entitas dan otoritas yang sesuai tentang operasi yang ditargetkan ini.

Buletin industri

Berita teknologi terbaru, didukung oleh insight dari pakar

Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.

Terima kasih! Anda telah berlangganan.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

Peringatan untuk rantai pasokan COVID 19

IBM® Security X-Force mendorong perusahaan dalam rantai pasokan COVID 19 — dari riset terapi, pemberian layanan kesehatan hingga distribusi vaksin — untuk waspada dan tetap waspada selama waktu ini. Pemerintah telah memperingatkan bahwa entitas asing kemungkinan besar akan mencoba melakukan spionase siber untuk mencuri informasi tentang vaksin. Hari ini, dalam hubungannya dengan blog ini, DHS CISA mengeluarkan peringatan yang mendorong organisasi yang terkait dengan penyimpanan dan transportasi vaksin untuk meninjau riset ini dan praktik terbaik yang direkomendasikan untuk tetap waspada.

Spoofing yang dihitung untuk membahayakan rantai dingin COVID 19

IBM® Security X-Force menemukan target di berbagai industri, pemerintah, dan mitra global yang mendukung programCCEOP. CCEOP diluncurkan oleh Gavi, The Vaccine Alliance bersama dengan United Nations Children Fund (UNICEF) dan mitra lainnya pada tahun 2015. Tujuannya adalah untuk pada akhirnya memperkuat rantai pasokan vaksin, mengoptimalkan kesetaraan imunisasi dan memastikan respons medis yang tangkas terhadap wabah penyakit menular. Berbagai kelas obat, dan terutama vaksin, memerlukan penyimpanan dan pengangkutan dalam lingkunganyang terkendali suhunya untuk memastikan pengawetan yang aman.

Inisiatif CCEOP secara alami mempercepat upaya untuk memfasilitasi distribusi vaksin COVID 19. Pelanggaran dalam bagian mana pun dari aliansi global ini dapat mengakibatkan terpapar berbagai lingkungan komputasi mitra di seluruh dunia.

Email phishing palsu tampaknya berasal dari seorang eksekutif bisnis dari Haier Biomedical, sebuah perusahaan Tiongkok yang saat ini bertindak sebagai pemasok yang memenuhi syarat untuk program CCEOP, berkoordinasi dengan Organisasi Kesehatan Dunia (WHO), UNICEF dan lembaga PBB lainnya. Sangat mungkin bahwa musuh secara strategis memilih untuk menyamar sebagai Haier Biomedical karena dianggap sebagai satu-satunya penyedia rantai dingin lengkap di dunia. Demikian juga, karyawan Haier Biomedical yang konon mengirim email ini kemungkinan akan dikaitkan dengan operasi distribusi rantai dingin Haier Biomedical berdasarkan perannya, yang tercantum dalam blok tanda tangan email.

Tidak jelas dari analisis kami apakah kampanye phishing COVID 19 berhasil. Namun, peran mapan yang dimainkan Haier Biomedical saat ini dalam transportasi vaksin, dan kemungkinan perannya dalam distribusi vaksin COVID 19, meningkatkan kemungkinan target yang dimaksud dapat terlibat dengan email masuk tanpa mempertanyakan keaslian pengirim.

Mixture of Experts | 12 Desember, episode 85

Decoding AI: Rangkuman Berita Mingguan

Bergabunglah dengan panel insinyur, peneliti, pemimpin produk, dan sosok kelas dunia lainnya selagi mereka mengupas tuntas tentang AI untuk menghadirkan berita dan insight terbaru seputar AI.
Tonton semua episode Mixture of Experts

Pengumpulan kredensial untuk akses yang lebih luas

Subjek email phishing diajukan sebagai permintaan penawaran (RFQ) terkait dengan program CCEOP. Email berisi lampiran HTML berbahaya yang terbuka secara lokal, meminta penerima untuk memasukkan kredensialnya untuk melihat file. Teknik phishing ini membantu penyerang menghindari pengaturan halaman phishing online yang dapat ditemukan dan dihapus oleh tim riset dan penegak hukum.

Kami menilai bahwa tujuan kampanye ini mungkin adalah untuk memanen kredensial untuk mendapatkan akses tidak sah di masa mendatang. Dari sana, musuh dapat memperoleh insight tentang komunikasi internal, serta proses, metode, dan rencana untuk mendistribusikan vaksin COVID 19. Ini termasuk informasi mengenai infrastruktur yang ingin digunakan pemerintah untuk mendistribusikan vaksin kepada vendor yang akan memasoknya. Namun, di luar informasi penting yang berkaitan dengan vaksin COVID 19, akses musuh dapat meluas lebih dalam ke lingkungan korban. Bergerak secara lateral melalui jaringan dan tetap di sana secara diam-diam akan memungkinkan mereka melakukan spionase siber dan mengumpulkan informasi rahasia tambahan dari lingkungan korban untuk operasi di masa depan.

Tangkapan layar email phishing yang dikirim ke eksekutif di organisasi yang terkait dengan rantai pasokan vaksin COVID 19.

Gambar 1: Email phishing dikirim ke eksekutif di organisasi yang terkait dengan rantai pasokan vaksin COVID 19.

Penargetan global

Melihat spesialisasi dan sebaran global dari organisasi yang menjadi target kampanye ini, sangat mungkin bahwa pihak adversari memiliki pengetahuan mendalam tentang komponen-komponen penting dan para pelaku dalam rantai dingin.

  • Direktorat Jenderal Perpajakan dan Serikat Pabean Komisi Eropa — Direktorat Jenderal bertanggung jawab untuk mempromosikan kerja sama dalam masalah bea cukai dan pajak di seluruh UE. Ini mempertahankan hubungan langsung dengan beberapa jaringan pemerintah nasional dan terkait dengan perdagangan dan regulasi. Menargetkan entitas ini dapat berfungsi sebagai titik kompromi tunggal yang berdampak pada beberapa target bernilai tinggi di 27 negara anggota Uni Eropa dan seterusnya.
  • Sektor energi — Target phishing tombak termasuk perusahaan yang terlibat dalam pembuatan panel surya. Salah satu cara vaksin dijaga tetap dingin di negara-negara yang tidak memiliki pasokan listrik andal adalah dengan menggunakan lemari es vaksin yang ditenagai oleh panel surya. Kompromi teknologi seperti itu dapat mengakibatkan kehilangan kekayaan intelektual atau hasil pencurian dan penjualan kontainer pengiriman vaksin di pasar gelap di seluruh dunia. Penargetan juga mencakup perusahaan-perusahaan yang terkait dengan petrokimia. Di antara komponen utama rantai dingin adalah penggunaan es kering, yang merupakan produk sampingan dari produksi minyak bumi.
  • Sektor TI — Di antara target adalah perusahaan pengembangan perangkat lunak Korea Selatan dan perusahaan pengembangan situs web Jerman. Yang terakhir mendukung banyak klien yang terkait dengan produsen farmasi, transportasi kontainer, bioteknologi, dan produsen komponen listrik yang memungkinkan navigasi serta komunikasi laut, darat dan udara.

Siapa yang mungkin berada di balik serangan ini?

Meskipun atribusinya saat ini belum diketahui, penargetan yang tepat dan sifat organisasi yang ditargetkan secara spesifik berpotensi mengarah pada aktivitas negara-bangsa. Tanpa jalur yang jelas menuju cash-out, penjahat siber tidak mungkin mencurahkan waktu dan sumber daya yang diperlukan untuk melaksanakan operasi yang dihitung seperti itu dengan begitu banyak target yang saling terkait dan terdistribusi secara global. Demikian juga, insight tentang pengangkutan vaksin dapat menghadirkan komoditas pasar gelap yang panas, namun, insight lanjutan tentang pembelian dan pergerakan vaksin yang dapat berdampak pada kehidupan dan ekonomi global kemungkinan merupakan target negara-bangsa bernilai tinggi dan prioritas tinggi.

Awal tahun 2020, IBM® Security X-Force menemukan aktivitas seputar penargetan rantai pasokan APD COVID 19 global. Demikian pula, ketika kompetisi global berlomba untuk vaksin, sangat mungkin rantai dingin adalah target yang menarik yang akan berada di puncak daftar persyaratan pengumpulan nasional di seluruh dunia.

Rekomendasi untuk pembela

IBM® Security X-Force siap untuk menjadi tuan rumah komunitas rantai pasokan COVID 19 di platform Enterprise Intelligence Management kami, di mana mereka dapat berbagi informasi ancaman dan mengambil tindakan atas intelijen ancaman terbaru. Berikut ini adalah rekomendasi bagi organisasi untuk meningkatkan kesiapan siber mereka di tengah perkembangan yang diuraikan dalam blog ini:

  • Buat dan uji rencana respons insiden untuk memperkuat kesiapan dan kesiapan organisasi Anda untuk merespons jika terjadi serangan.
  • Berbagi dan menyerap intelijen ancaman. Inisiatif dan kemitraan berbagi ancaman sangat penting untuk tetap waspada tentang ancaman terbaru dan taktik serangan yang berdampak pada industri Anda. IBM® Security X-Force telah memasukkan intelijen ancaman ini ke dalam kantong berbagi ancaman COVID 19. Pada awal pandemi, IBM® membuat kantong ini dapat diakses secara bebas oleh organisasi mana pun yang membutuhkan lebih banyak perhatian pada ancaman siber.
  • Menilai ekosistem pihak ketiga Anda dan menilai potensi risiko yang diperkenalkan oleh mitra pihak ketiga. Pastikan Anda memiliki pemantauan yang kuat, kontrol akses yang memadai, dan standar keamanan yang harus dipatuhi oleh mitra pihak ketiga.
  • Terapkan pendekatan zero-trust pada strategi keamanan Anda. Seiring lingkungan terus berkembang, pengelolaan akses privilese menjadi sangat penting untuk memastikan bahwa pengguna hanya diberi akses ke data yang benar-benar diperlukan untuk pekerjaan mereka.
  • Gunakan autentikasi multifaktor (MFA) di seluruh organisasi Anda. MFA berfungsi sebagai fail-safe jika aktor jahat telah mendapatkan akses ke kredensial Anda. Sebagai garis pertahanan terakhir, MFA memberikan bentuk verifikasi kedua yang wajib dipenuhi untuk mengakses sebuah akun.
  • Lakukan pelatihan pendidikan keamanan email secara teratur sehingga karyawan tetap waspada tentang taktik phishing dan akrab dengan praktik terbaik keamanan email.
  • Gunakan alat perlindungan titik akhir dan respons untuk lebih mudah deteksi dan mencegah ancaman menyebar ke seluruh organisasi.

Jika organisasi Anda memerlukan bantuan segera dengan respon insiden, silakan hubungi hotline AS IBM® Security X-Force 1-888-241-9812 | Hotline global (+001) 312-212-8034 Pelajari lebih lanjut tentang intelijen ancaman dan layanan respons insiden X-Force.

Indicators of compromise (IOCs)

File HTML berbahaya: RFQ – UNICEF CCEOP dan proyek vaksin – Salin (#) .html

Hash SHA256
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895

URL C2

hxxps://e-mailer.cf/next[.]php

hxxps://e-mailer.ga/next[.]php

hxxps://nwa-oma2.ml/next[.]php

hxxps://routermanager.ga/next[.]php

hxxps://routermanager.gq/next[.]php

hxxps://routermanager.ml/next[.]php

hxxps://routermanagers.cf/next[.]php

hxxps://routermanagers.ga/next[.]php

hxxps://routermanagers.gq/next[.]php

hxxps://routermanagers.ml/next[.]php

hxxps://serverrouter.cf/next[.]php

hxxps://serverrouter.ga/next[.]php

hxxps://serversrouter.cf/next[.]php

hxxps://serversrouter.gq/next[.]php

hxxps://nwa-oma.ml/next[.]php

Alamat email pengirim

yongbinxu@haierbiomedical[.]Com

Alamat SOA DNS

rahim[@]protonmail[.]com

kilode[@]cock.li.

URL terkait tambahan

hxxps://mailerdeamon[.]cf

hxxps://mailerdeamon[.]ga

hxxps://mailerdeamon[.]gq

hxxps://mailerdeamon[.]ml

hxxps://mailerdeamon[.]tk

hxxps://routermanager[.]tk

hxxps://routermanagers[.]Tk

hxxps://serverrouter[.]tk