Pusat Perlindungan Siber Negara (SCPC) Ukraina telah memanggil aktor ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon atas serangan siber yang ditargetkan pada otoritas publik dan infrastruktur informasi penting di negara tersebut.
Ancaman gigih tingkat lanjut, juga dikenal sebagai Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, dan UAC-0010, memiliki rekam jejak entitas Ukraina yang menyerang sejak tahun 2013.
Tujuan serangan lebih diarahkan pada spionase dan pencurian informasi daripada sabotase, catat agensi tersebut. SCPC juga menekankan evolusi taktik grup yang “terus-menerus” dengan mengembangkan kembali perangkat malware-nya agar tetap berada di bawah radar, menyebut Gamaredon sebagai “ancaman dunia maya utama”.
Rantai serangan dimulai dengan email spear-phishing yang membawa arsip RAR yang, ketika dibuka, mengaktifkan urutan panjang yang terdiri dari lima tahap perantara – file LNK, file HTA, dan tiga file VBScript – yang pada akhirnya berujung pada pengiriman muatan PowerShell.
Serangan tersebut berbentuk halaman web mirip yang menyamar sebagai Kementerian Luar Negeri Ukraina, Dinas Keamanan Ukraina, dan Polisi Polandia (Policja) dalam upaya mengelabui pengunjung agar mengunduh software yang mengklaim dapat mendeteksi komputer yang terinfeksi.
Namun, setelah meluncurkan file – skrip batch Windows bernama “Protector.bat” – itu mengarah ke eksekusi skrip PowerShell yang mampu menangkap tangkapan layar dan memanen file dengan 19 ekstensi berbeda dari workstation.
CERT-UA mengaitkan operasi tersebut dengan aktor ancaman yang disebutnya UAC-0114, yang juga dikenal sebagai Winter Vivern – sebuah cluster aktivitas yang di masa lalu memanfaatkan dokumen Microsoft Excel yang dipersenjatai yang berisi makro XLM untuk menyebarkan implan PowerShell pada host yang disusupi.
Invasi Rusia ke Ukraina pada Februari 2022 telah dilengkapi dengan kampanye phishing yang ditargetkan, serangan malware yang merusak, dan serangan denial-of-service (DDoS) terdistribusi.
sumber : thehackernews
