Seorang karyawan perusahaan utilitas Ukraina mengunduh dan menginstal versi Microsoft Office yang tidak berlisensi dari situs web torrent yang mengakibatkan dua Trojan akses jarak jauh menginfeksi sistem perusahaan selama dua bulan.
Tim Tanggap Darurat Komputer Ukraina mengatakan versi bajakan dari Office suite berisi Trojan akses jarak jauh DarkCrystal dan alat administrasi jarak jauh DWAgent. Kedua aplikasi tersebut menyediakan akses pihak ketiga yang tidak sah ke jaringan perusahaan antara 19 Januari dan 22 Maret.
Responden pertama cybersecurity mengaitkan Trojans dengan grup yang dilacaknya sebagai UAC-0145. CERT Ukraina sebelumnya mengaitkan penggunaan DarkCrystal RAT dengan grup Sandworm, nama Barat yang populer untuk unit peretas intelijen militer Rusia yang bertanggung jawab atas serangkaian serangan komputer yang merusak terhadap Ukraina. Kyiv melacak Sandworm sebagai UAC-0113 (lihat: Russian Sandworm APT Menambahkan Wiper Baru ke Persenjataannya).
CERT-UA mengatakan perangkat lunak torrent adalah jalur umum untuk infeksi. “Selain produk perangkat lunak Microsoft Office, ada kasus infeksi yang diketahui, termasuk saat menginstal sistem operasi yang diunduh dari sumber tidak resmi, serta program lain seperti pemindai, alat pemulihan kata sandi, dll.”
Peretas negara Rusia telah menyerang Ukraina selama hampir satu dekade sekarang dengan peningkatan yang mencolok selama empat bulan pertama tahun 2022, sekitar waktu Moskow memulai perang penaklukan melawan Kyiv. Dimensi dunia maya dari konflik tersebut telah gagal terwujud ke dalam perang dunia maya yang diprediksi banyak orang, tetapi peretasan terus terjadi. Microsoft baru-baru ini memperkirakan peretas Rusia akan meningkatkan penggunaan ransomware, mencari akses awal ke sistem, dan melakukan operasi pengaruh tambahan (lihat: Rusia Mungkin Menghidupkan Kembali Operasi Cyber Menjelang Serangan Musim Semi).
sumber : govinfosecurity.com
