Analis ancaman melaporkan bahwa kelompok ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon (alias Armageddon/Shuckworm) meluncurkan serangan terhadap target di Ukraina menggunakan varian baru dari pintu belakang kustom Pteredo.
Gamaredon telah meluncurkan kampanye spionase dunia maya yang menargetkan pemerintah Ukraina dan entitas penting lainnya setidaknya sejak 2014.
Aktor ini dikenal karena fokusnya yang kuat di Ukraina, yang dikaitkan dengan lebih dari 5.000 serangan siber terhadap 1.500 entitas publik dan swasta di negara tersebut.
Menurut laporan Symantec, yang melacak grup tersebut sebagai Shuckworm, aktor tersebut saat ini menggunakan setidaknya empat varian malware “Pteredo”, yang juga dilacak sebagai Pteranodon.
Akar pintu belakang ada di forum peretas Rusia dari 2016 dari mana Shuckworm mengambilnya dan mulai mengembangkannya secara pribadi dengan modul dan fitur DLL khusus untuk mencuri data, akses jarak jauh, dan penghindaran analisis.
Analis Symantec melaporkan bahwa semua muatan berbeda yang dikerahkan terhadap target Ukraina baru-baru ini melakukan tugas serupa, tetapi masing-masing berkomunikasi dengan alamat server server perintah dan kontrol (C2) yang berbeda.
Ini menunjukkan bahwa aktor ancaman menggunakan beberapa muatan berbeda untuk mencapai redundansi dan membangun kegigihan yang tahan terhadap tindakan pembersihan malware.
Di keempat varian yang diamati, pelaku ancaman menggunakan dropper VBS yang dikaburkan yang menambahkan Tugas Terjadwal dan kemudian mengambil modul tambahan dari C2.
Pteredo.B – Arsip 7-Zip self-extracting yang dimodifikasi yang berisi beberapa VBScript yang berfokus pada pengumpulan data dan pembentukan kegigihan.
Pteredo.C – Varian yang menggunakan VBScript yang diluncurkan dengan proses hammering API untuk memastikannya tidak berjalan di sandbox analis. Bergantung pada pengambilan skrip PowerShell dari sumber eksternal dan menjalankannya.
Pteredo.D – Penetes VBScript lain yang dikaburkan yang menghapus DNS sebelum mengambil muatan, menjalankan perintah, dan menghapus jejak tahap infeksi awal.
Pteredo.E – Varian lain yang menampilkan campuran dari tiga fitur sebelumnya, seperti kebingungan berat dan palu API.
Alat lain yang digunakan dan disalahgunakan dalam serangan Shuckworm baru-baru ini termasuk alat akses jarak jauh UltraVNC, dan Microsoft Process Explorer untuk menangani proses modul DLL.
Dengan melihat aktivitas Shuckworm terhadap target Ukraina mulai Januari 2022, mudah untuk menyimpulkan bahwa taktik kelompok ancaman tidak berubah secara signifikan.
Dalam serangan sebelumnya, varian backdoor Pteredo dijatuhkan menggunakan file VBS yang bersembunyi di dalam lampiran file DOC pada email spear-phishing.
Binari self-extracting 7-Zip yang meminimalkan interaksi pengguna juga digunakan pada bulan Januari, sementara penyalahgunaan UltraVNC dan Process Explorer juga terlihat.
Meskipun Shuckworm/Gamaredon adalah grup yang cukup canggih, perangkat dan taktik infeksinya belum membaik dalam beberapa bulan terakhir, memungkinkan pendeteksian yang lebih mudah dan taktik pertahanan yang lebih sederhana.
Sumber : Bleeping Computer
