Gamaredon adalah grup peretasan yang disponsori negara Rusia yang telah aktif setidaknya sejak 2013. Grup tersebut diyakini bertanggung jawab atas sejumlah serangan dunia maya terhadap target Ukraina, termasuk militer, pemerintah, dan organisasi infrastruktur penting.
Layanan Keamanan Ukraina mengklasifikasikan grup tersebut sebagai APT (Advanced Persistent Threat), dan secara jelas mengidentifikasinya sebagai unit struktural yang dibuat khusus dari Layanan Keamanan Federal (FSB) Federasi Rusia, yang tugasnya adalah kegiatan intelijen dan subversif terhadap Ukraina di dunia maya.
Gamaredon juga dikenal sebagai Primitive Bear (CrowdStrike), Winterflouder (iDefence), BlueAlpha (Recorded Future), BlueOtso (PWC), IronTiden (SecureWorks), SectorC08 (Red Alert), Callisto (Asosiasi NATO Kanada), Shuckworm dan Armageddon ( CERT-UA).
Taktik, teknik, dan prosedur (TTP) grup telah didokumentasikan dengan baik dan sering melibatkan penggunaan rekayasa sosial, spear-phishing, dan malware, termasuk pintu belakang dan pencuri informasi. Tujuan akhir dari kelompok tersebut diperkirakan untuk mengumpulkan intelijen dan mengganggu operasi Ukraina.
Pada Januari 2023, grup yang terkait dengan Rusia terus melakukan serangan ofensif terhadap target di Ukraina, seperti yang didokumentasikan oleh Symantec, BlackBerry Research, dan Trellix.
Selama beberapa minggu terakhir, saya telah menemukan bukti kampanye yang sebelumnya tidak diketahui oleh Gamaredon yang menargetkan sejumlah organisasi di negara tersebut.
Kampanye tersebut, bagian dari operasi spionase yang sedang berlangsung yang diamati baru-baru ini pada Februari 2023, bertujuan untuk mengirimkan malware ke mesin korban Ukraina dan memanfaatkan skrip PowerShell dan VBScript (VBS) yang disamarkan sebagai bagian dari rantai infeksi.
Malware tersebut adalah WebShell yang mencakup kemampuan untuk mengeksekusi perintah jarak jauh dari penyerang dan menerapkan muatan berbasis skrip dan biner tambahan pada mesin yang terinfeksi.
Selengkapnya: Medium
