
Google pada hari Rabu menjelaskan nama aktor ancaman yang bermotivasi finansial KEKUATAN TRIPLE karena penargetan oportunistiknya terhadap lingkungan cloud untuk serangan cryptojacking dan ransomware di lokasi.
“Aktor ini terlibat dalam berbagai aktivitas ancaman, termasuk operasi penambangan mata uang kripto pada sumber daya cloud yang dibajak dan aktivitas ransomware,” kata divisi cloud raksasa teknologi tersebut dalam Laporan Cakrawala Ancaman ke-11.
TRIPLESTENGTH terlibat dalam tiga serangan berbahaya, termasuk penambangan mata uang kripto ilegal, ransomware dan pemerasan, serta mengiklankan akses ke berbagai platform cloud, termasuk Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud, dan Digital Ocean kepada pelaku ancaman lainnya.

Akses awal ke instance cloud target difasilitasi melalui kredensial dan cookie yang dicuri, beberapa di antaranya berasal dari log infeksi pencuri informasi Raccoon. Lingkungan yang dibajak kemudian disalahgunakan untuk menciptakan sumber daya komputasi untuk menambang mata uang kripto.
Versi kampanye berikutnya ditemukan memanfaatkan akun dengan hak istimewa tinggi untuk mengundang akun yang dikendalikan penyerang sebagai kontak penagihan pada proyek cloud korban guna menyiapkan sumber daya komputasi besar untuk tujuan penambangan.
Penambangan mata uang kripto dilakukan dengan menggunakan aplikasi unMiner bersama dengan kumpulan penambangan yang tidak dapat ditambang, dengan algoritma penambangan yang dioptimalkan CPU dan GPU yang digunakan tergantung pada sistem target.
Mungkin agak aneh, operasi penyebaran ransomware TRIPLESTENGTH difokuskan pada sumber daya lokal, bukan pada infrastruktur cloud, dengan menggunakan loker seperti Phobos, RCRU64, dan LokiLocker.
“Di saluran Telegram yang berfokus pada peretasan, aktor yang terkait dengan TRIPLESTENGTH telah memasang iklan untuk RCRU64 ransomware-as-a-service dan juga meminta mitra untuk berkolaborasi dalam operasi ransomware dan pemerasan,” kata Google Cloud.
Dalam satu insiden ransomware RCRU64 pada Mei 2024, pelaku ancaman dikatakan telah memperoleh akses awal melalui protokol desktop jarak jauh, diikuti dengan melakukan gerakan lateral dan langkah-langkah penghindaran pertahanan antivirus untuk mengeksekusi ransomware di beberapa host.

TRIPLESTENGTH juga diamati secara rutin mengiklankan akses ke server yang disusupi, termasuk server milik penyedia hosting dan platform cloud, di Telegram.
Google mengatakan telah mengambil langkah-langkah untuk melawan aktivitas ini dengan menerapkan autentikasi multi-faktor (MFA) untuk mencegah risiko pengambilalihan akun dan meluncurkan logging yang lebih baik untuk menandai tindakan penagihan yang sensitif.
“Satu kredensial yang dicuri dapat memicu reaksi berantai, memberikan penyerang akses ke aplikasi dan data, baik di lokasi maupun di cloud,” kata raksasa teknologi itu.
“Akses ini dapat dieksploitasi lebih lanjut untuk menyusupi infrastruktur melalui layanan akses jarak jauh, memanipulasi MFA, dan membangun kehadiran yang tepercaya untuk serangan rekayasa sosial berikutnya.”