Microsoft Mengungkap Detail Baru dari Kampanye Peretasan Rusia yang Menargetkan Ukraina

Russian Hacking Campaign Targeting Ukraine
Microsoft Mengungkap Detail Baru dari Kampanye Peretasan Rusia yang Menargetkan

News.nextcloud.asia –

Kampanye Peretasan Rusia Menargetkan Ukraina

Microsoft pada hari Jumat membagikan lebih banyak taktik, teknik, dan prosedur (TTPs) yang diadopsi oleh kelompok peretasan Gamaredon yang berbasis di Rusia untuk memfasilitasi rentetan serangan spionase dunia maya yang ditujukan pada beberapa entitas di Ukraina selama enam bulan terakhir.

Serangan tersebut dikatakan ditujukan kepada pemerintah, militer, organisasi non-pemerintah (LSM), peradilan, penegakan hukum, dan organisasi nirlaba dengan tujuan utama untuk mengekstrak informasi sensitif, mempertahankan akses, dan memanfaatkannya untuk bergerak secara lateral ke informasi terkait. organisasi.

Pusat Intelijen Ancaman (MSTIC) pembuat Windows melacak klaster di bawah moniker ACTINIUM (sebelumnya sebagai DEV-0157), berpegang teguh pada tradisi mengidentifikasi aktivitas negara-bangsa dengan nama unsur kimia.

Pemerintah Ukraina, pada November 2021, secara terbuka menghubungkan Gamaredon dengan Layanan Keamanan Federal Rusia (FSB) dan menghubungkan operasinya dengan Kantor FSB Rusia di Republik Krimea dan kota Sevastopol.

“Sejak Oktober 2021, ACTINIUM telah menargetkan atau mengkompromikan akun di organisasi yang penting untuk tanggap darurat dan memastikan keamanan wilayah Ukraina, serta organisasi yang akan terlibat dalam mengoordinasikan distribusi bantuan internasional dan kemanusiaan ke Ukraina dalam krisis,” MSTIC peneliti dikatakan.

Patut ditunjukkan bahwa kelompok ancaman Gamaredon mewakili serangkaian serangan unik yang terpisah dari serangan dunia maya bulan lalu yang melumpuhkan beberapa lembaga pemerintah Ukraina dan entitas perusahaan dengan malware penghapus data destruktif yang menyamar sebagai ransomware.

Serangan tersebut terutama memanfaatkan email spear-phishing sebagai vektor akses awal, dengan pesan yang membawa lampiran makro yang mengandung malware yang menggunakan templat jarak jauh yang berisi kode berbahaya ketika penerima membuka dokumen yang dicurangi.

Dalam taktik yang menarik, operator juga menyematkan “bug web” seperti piksel pelacakan di dalam tubuh pesan phishing untuk memantau apakah pesan telah dibuka, yang diikuti oleh rantai infeksi yang memicu proses multi-tahap yang berpuncak pada penyebaran beberapa binari, termasuk —

  • Kekuatan Pukulan – Dropper dan pengunduh berbasis PowerShell yang digunakan untuk mengambil executable tahap berikutnya dari jarak jauh
  • Pterodo – Pintu belakang kaya fitur yang terus berkembang yang juga menampilkan berbagai kemampuan yang dimaksudkan untuk membuat analisis lebih sulit, dan
  • Saringan Tenang – Biner .NET yang sangat dikaburkan secara khusus diarahkan untuk eksfiltrasi dan pengintaian data pada host target

“Sementara keluarga malware QuietSieve terutama diarahkan pada eksfiltrasi data dari host yang disusupi, ia juga dapat menerima dan menjalankan muatan jarak jauh dari operator,” para peneliti menjelaskan, sambil juga menyebut kemampuannya untuk mengambil tangkapan layar dari host yang disusupi. sekitar setiap lima menit.

Ini jauh dari satu-satunya penyusupan yang dilakukan oleh aktor ancaman, yang juga menyerang organisasi pemerintah Barat yang tidak disebutkan namanya di Ukraina bulan lalu melalui resume yang mengandung malware untuk daftar pekerjaan aktif dengan entitas yang diposting di portal pekerjaan lokal. Itu juga menargetkan Layanan Migrasi Negara (SMS) negara itu pada Desember 2021.

Temuan itu juga tiba saat Cisco Talos, dalam analisis berkelanjutannya atas insiden Januari, mengungkapkan rincian yang sedang berlangsung kampanye disinformasi mencoba untuk menghubungkan defacement dan serangan wiper ke kelompok Ukraina yang dimulai setidaknya sembilan bulan.

.

Pos terkait