Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Ukraina

Ukraina

Peretas menargetkan pemerintah Rusia dengan pembaruan Windows palsu yang mendorong RAT

by

Peretas menargetkan lembaga pemerintah Rusia dengan email phishing yang berpura-pura sebagai pembaruan keamanan Windows dan umpan lain untuk menginstal malware akses jarak jauh.

Serangan dilakukan oleh kelompok APT (ancaman persisten lanjutan) yang sebelumnya tidak terdeteksi yang diyakini beroperasi dari China, yang terkait dengan empat kampanye spear-phishing terpisah.

Operasi ini berlangsung antara Februari dan April 2022, bertepatan dengan invasi Rusia ke Ukraina. Targetnya adalah entitas pemerintah Federasi Rusia.

Dalam keempat kasus, tujuan akhir kampanye adalah menginfeksi target dengan trojan akses jarak jauh (RAT) khusus yang kemungkinan besar membantu operasi spionase.

Penemuan dan laporan datang dari analis di tim Malwarebytes Threat Intelligence, yang memperhatikan upaya khas aktor ancaman untuk menipu kelompok peretasan lain dan lolos tanpa terdeteksi.

Kampanye pertama dari empat kampanye yang dikaitkan dengan APT baru ini dimulai pada Februari 2022, hanya beberapa hari setelah invasi Rusia ke Ukraina, mendistribusikan RAT dengan nama “interactive_map_UA.exe”.

Untuk gelombang kedua, APT punya waktu lebih untuk mempersiapkan sesuatu yang lebih canggih. Mereka menggunakan arsip tar.gz yang seharusnya memperbaiki kerentanan Log4Shell yang dikirim oleh Kementerian Pengembangan Digital, Telekomunikasi, dan Komunikasi Massa Federasi Rusia.

Menurut Malwarebytes, kampanye ini memiliki penargetan yang sempit karena sebagian besar email terkait mencapai karyawan stasiun TV RT, jaringan televisi milik negara Rusia.

Email-email tersebut berisi PDF dengan instruksi untuk menginstal patch Log4j dan bahkan menyertakan saran seperti “jangan membuka atau membalas email yang mencurigakan”.

PDF yang berisi instruksi tentang cara menginstal malware
(Malwarebytes)

Kampanye ketiga memalsukan Rostec, konglomerat pertahanan milik negara Rusia, dan para aktor menggunakan domain yang baru terdaftar seperti “Rostec.digital” dan akun Facebook palsu untuk menyebarkan malware mereka sambil membuatnya tampak seperti berasal dari entitas yang dikenal.

Profil perusahaan palsu di Facebook (Malwarebytes)

Akhirnya, pada April 2022, para peretas China beralih ke dokumen Word yang terinfeksi makro yang berisi iklan pekerjaan palsu oleh Saudi Aramco, sebuah perusahaan minyak dan gas alam besar.

Dokumen tersebut menggunakan injeksi templat jarak jauh untuk mengambil templat jahat dan menjatuhkan skrip VBS ke kandidat yang melamar posisi “Analis Strategi dan Pertumbuhan”.

Rantai infeksi kampanye Aramco (Malwarebytes)

Malwarebytes dapat mengambil sampel muatan yang akan diterapkan pada keempat kampanye dan melaporkan bahwa dalam semua kasus, pada dasarnya DLL yang sama menggunakan nama yang berbeda.

Malware ini menampilkan teknik anti-analisis seperti peratan aliran kontrol melalui OLLVM dan pengaburan string menggunakan pengkodean XOR.

Mengontrol aliran yang merata di malware (Malwarebytes)

Dalam hal perintah yang dapat diminta C2 dari payload, ini termasuk yang berikut:

getcomputername – profilkan host dan tetapkan ID unik
unggah – terima file dari C2 dan tulis ke disk host
mengeksekusi – menjalankan instruksi baris perintah dari C2 dan merespons dengan hasilnya
exit – menghentikan proses malware
ls – mengambil daftar semua file di bawah direktori tertentu dan mengirimkannya ke C2

Perintah unggah malware (Malwarebytes)

Domain C2 yang ditemukan oleh Malwarebytes adalah “windowsipdate[.]com”, “microsoftupdetes[.]com”, dan “mirror-exchange[.]com”.

Temuan menarik lainnya adalah bahwa APT baru menggunakan pembuat makro yang sama untuk gelombang Saudi Aramco seperti TrickBot dan BazarLoader.

Terakhir, ada penyebaran perpustakaan wolfSSL, yang biasanya terlihat secara eksklusif di kampanye Lazarus atau Tropic Trooper.

Sumber: Bleeping Computer

Rusia menjarah $ 5 Juta Kendaraan Pertanian dari Ukraina – Ternyata telah Dimatikan dari Jauh

by

Pasukan Rusia di kota Melitopol yang diduduki telah mencuri semua peralatan dari dealer peralatan pertanian – dan mengirimkannya ke Chechnya, menurut seorang pengusaha Ukraina di daerah tersebut. Tetapi setelah perjalanan lebih dari 700 mil, para pencuri tidak dapat menggunakan peralatan apa pun – karena telah dikunci dari jarak jauh.

Selama beberapa minggu terakhir ada semakin banyak laporan tentang pasukan Rusia yang mencuri peralatan pertanian, biji-bijian dan bahkan bahan bangunan – di luar penjarahan tempat tinggal yang meluas. Tetapi penghapusan peralatan pertanian yang berharga dari dealer John Deere di Melitopol berbicara tentang operasi yang semakin terorganisir, yang bahkan menggunakan transportasi militer Rusia sebagai bagian dari pencurian.

Kontak itu mengatakan prosesnya dimulai dengan penyitaan dua pemanen gabungan, traktor dan seeder. Selama beberapa minggu ke depan, segala sesuatu yang lain telah dihapus: di semua 27 buah mesin pertanian. Salah satu truk tempat tidur datar yang digunakan, dan tertangkap kamera, memiliki “Z” putih yang dilukis di atasnya dan tampaknya adalah truk militer.

Kecanggihan mesin, yang dilengkapi dengan GPS, berarti bahwa perjalanannya dapat dilacak. Itu terakhir dilacak ke desa Zakhan Yurt di Chechnya. Peralatan yang diangkut ke Chechnya, yang termasuk combine harvester – juga dapat dikontrol dari jarak jauh. “Ketika penjajah membawa pemanen yang dicuri ke Chechnya, mereka menyadari bahwa mereka bahkan tidak bisa menyalakannya, karena pemanen dikunci dari jarak jauh,” kata kontak itu.

Peralatan itu sekarang tampaknya mendekam di sebuah peternakan dekat Grozny. Tetapi kontak itu mengatakan bahwa “tampaknya para pembajak telah menemukan konsultan di Rusia yang mencoba untuk melewati perlindungan.”
“Bahkan jika mereka menjual pemanen untuk suku cadang, mereka akan mendapatkan uang,” kata kontak itu.

Sumber-sumber lain di wilayah Melitopol mengatakan pencurian oleh unit militer Rusia telah meluas ke biji-bijian yang disimpan di silo, di wilayah yang menghasilkan ratusan ribu ton tanaman per tahun.
Satu sumber mengatakan kepada CNN bahwa “penjajah menawarkan petani lokal untuk berbagi keuntungan mereka 50% hingga 50%.” Tetapi para petani yang mencoba bekerja di daerah-daerah yang diduduki oleh pasukan Rusia tidak dapat memindahkan produk mereka.
“Tidak ada satu lift pun yang berfungsi. Tidak ada port yang berfungsi. Anda tidak akan mengambil biji-bijian ini dari wilayah yang diduduki di mana saja.

Pekan lalu walikota Melitopol memposting video yang menunjukkan konvoi truk meninggalkan Melitopol yang diduga sarat dengan biji-bijian.
“Kami memiliki bukti yang jelas bahwa mereka menurunkan biji-bijian dari lift kota Melitopol. Mereka merampok lift bersama dengan pertanian swasta,” kata walikota kepada CNN.

Sumber: CNN

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Detail tentang kode JS berbahaya (CERT-UA)

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Beberapa situs yang ditargetkan adalah: Selengkapnya

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

CERT-UA bekerja sama dengan Bank Nasional Ukraina untuk menerapkan langkah-langkah defensif terhadap kampanye DDoS ini.

Agensi telah memberi tahu pemilik, pendaftar, dan penyedia layanan hosting situs web yang disusupi tentang situasi tersebut dan telah memberikan instruksi tentang cara mendeteksi dan menghapus JavaScript berbahaya dari situs mereka.

Tanda kompromi dalam log (CERT-UA)

Saat ini, setidaknya 36 situs web yang dikonfirmasi menyalurkan permintaan sampah berbahaya ke URL target, tetapi daftar ini dapat berubah atau diperbarui kapan saja.

Untuk alasan ini, CERT-UA telah menyertakan alat pendeteksi dalam laporan untuk membantu semua administrator situs web memindai situs mereka sekarang dan di masa mendatang.

Selain itu, penting untuk selalu memperbarui sistem manajemen konten (CMS) situs Anda, menggunakan versi terbaru yang tersedia dari semua plugin aktif, dan membatasi akses ke halaman manajemen situs web.

Sumber: Bleeping Computer

Peretas negara Rusia menyerang Ukraina dengan varian malware baru

by

Analis ancaman melaporkan bahwa kelompok ancaman yang disponsori negara Rusia yang dikenal sebagai Gamaredon (alias Armageddon/Shuckworm) meluncurkan serangan terhadap target di Ukraina menggunakan varian baru dari pintu belakang kustom Pteredo.

Gamaredon telah meluncurkan kampanye spionase dunia maya yang menargetkan pemerintah Ukraina dan entitas penting lainnya setidaknya sejak 2014.

Aktor ini dikenal karena fokusnya yang kuat di Ukraina, yang dikaitkan dengan lebih dari 5.000 serangan siber terhadap 1.500 entitas publik dan swasta di negara tersebut.

Menurut laporan Symantec, yang melacak grup tersebut sebagai Shuckworm, aktor tersebut saat ini menggunakan setidaknya empat varian malware “Pteredo”, yang juga dilacak sebagai Pteranodon.

Akar pintu belakang ada di forum peretas Rusia dari 2016 dari mana Shuckworm mengambilnya dan mulai mengembangkannya secara pribadi dengan modul dan fitur DLL khusus untuk mencuri data, akses jarak jauh, dan penghindaran analisis.

Analis Symantec melaporkan bahwa semua muatan berbeda yang dikerahkan terhadap target Ukraina baru-baru ini melakukan tugas serupa, tetapi masing-masing berkomunikasi dengan alamat server server perintah dan kontrol (C2) yang berbeda.

Ini menunjukkan bahwa aktor ancaman menggunakan beberapa muatan berbeda untuk mencapai redundansi dan membangun kegigihan yang tahan terhadap tindakan pembersihan malware.

Tugas terjadwal ditambahkan untuk ketekunan (Symantec)

Di keempat varian yang diamati, pelaku ancaman menggunakan dropper VBS yang dikaburkan yang menambahkan Tugas Terjadwal dan kemudian mengambil modul tambahan dari C2.

Pteredo.B – Arsip 7-Zip self-extracting yang dimodifikasi yang berisi beberapa VBScript yang berfokus pada pengumpulan data dan pembentukan kegigihan.
Pteredo.C – Varian yang menggunakan VBScript yang diluncurkan dengan proses hammering API untuk memastikannya tidak berjalan di sandbox analis. Bergantung pada pengambilan skrip PowerShell dari sumber eksternal dan menjalankannya.

PowerShell digunakan oleh Pteredo.C (Symantec)

Pteredo.D – Penetes VBScript lain yang dikaburkan yang menghapus DNS sebelum mengambil muatan, menjalankan perintah, dan menghapus jejak tahap infeksi awal.
Pteredo.E – Varian lain yang menampilkan campuran dari tiga fitur sebelumnya, seperti kebingungan berat dan palu API.

Alat lain yang digunakan dan disalahgunakan dalam serangan Shuckworm baru-baru ini termasuk alat akses jarak jauh UltraVNC, dan Microsoft Process Explorer untuk menangani proses modul DLL.

Dengan melihat aktivitas Shuckworm terhadap target Ukraina mulai Januari 2022, mudah untuk menyimpulkan bahwa taktik kelompok ancaman tidak berubah secara signifikan.

Dalam serangan sebelumnya, varian backdoor Pteredo dijatuhkan menggunakan file VBS yang bersembunyi di dalam lampiran file DOC pada email spear-phishing.

Binari self-extracting 7-Zip yang meminimalkan interaksi pengguna juga digunakan pada bulan Januari, sementara penyalahgunaan UltraVNC dan Process Explorer juga terlihat.

Meskipun Shuckworm/Gamaredon adalah grup yang cukup canggih, perangkat dan taktik infeksinya belum membaik dalam beberapa bulan terakhir, memungkinkan pendeteksian yang lebih mudah dan taktik pertahanan yang lebih sederhana.

Sumber : Bleeping Computer

Peretas Sandworm gagal menjatuhkan penyedia energi Ukraina

by

Kelompok peretasan Sandworm mencoba menjatuhkan penyedia energi besar Ukraina dengan memutuskan gardu listriknya dengan varian baru malware Industroyer untuk sistem kontrol industri (ICS) dan versi baru pemusnah data CaddyWiper perangkat lunak jahat.

Pelaku ancaman menggunakan versi malware Industroyer ICS yang disesuaikan untuk gardu listrik tegangan tinggi target dan kemudian mencoba menghapus jejak serangan dengan mengeksekusi CaddyWiper dan keluarga malware penghapus data lainnya yang dilacak sebagai Orcshred, Soloshred, dan Awfulshred untuk Linux dan sistem Solaris.

Para peneliti di ESET yang berkolaborasi dengan Tim Tanggap Darurat Komputer Ukraina (CERT) untuk memulihkan dan melindungi jaringan yang diserang mengatakan bahwa mereka tidak tahu bagaimana penyerang membahayakan lingkungan atau bagaimana mereka berhasil berpindah dari jaringan TI ke lingkungan ICS.

Diagram aktivitas cacing pasir (ESET)

Dalam pengumuman hari ini, CERT-UA mencatat bahwa tujuan pelaku ancaman adalah “menonaktifkan beberapa elemen infrastruktur.”

Malware ICS yang digunakan dalam serangan itu sekarang dilacak saat Industroyer2 dan ESET menilai “dengan keyakinan tinggi” bahwa malware itu dibuat menggunakan kode sumber Industroyer yang digunakan pada tahun 2016 untuk memutus aliran listrik di Ukraina dan dikaitkan dengan kelompok peretasan Rusia yang disponsori negara Sandworm .

CERT-UA mengatakan bahwa “implementasi rencana jahat [Sandworm] sejauh ini telah dicegah” sementara ESET mencatat dalam laporan teknis tentang malware yang digunakan dalam serangan ini bahwa “Penyerang Sandworm melakukan upaya untuk menyebarkan malware Industroyer2 terhadap tegangan tinggi gardu listrik di Ukraina.”

Peneliti ESET mengatakan bahwa Industroyer2 sangat dapat dikonfigurasi dan dilengkapi dengan konfigurasi terperinci yang di-hardcode, yang mengharuskannya untuk dikompilasi ulang untuk setiap lingkungan korban baru.

Para peneliti mengatakan bahwa stempel waktu Portabel Executable dari Industroyer2 menunjukkan bahwa itu dikompilasi pada 23 Maret, yang menunjukkan bahwa serangan itu telah direncanakan setidaknya selama dua minggu.

Sumber : ESET

Alat tambahan yang digunakan dalam serangan termasuk skrip PowerGap PowerShell yang digunakan untuk menambahkan Kebijakan Grup yang mengunduh muatan dan membuat tugas terjadwal, dan Impacket, yang digunakan untuk eksekusi perintah jarak jauh.

Komponen worm dalam serangan ini – skrip Bash bernama sc.sh – mencari jaringan yang dapat diakses (melalui ip route atau ifconfig) dan mencoba untuk terhubung ke semua host yang tersedia melalui SSHH (TCP port 22, 2468, 24687, 522) menggunakan kredensial di daftar musuh yang ditambahkan dalam skrip.

Industroyer, juga dikenal sebagai CrashOverride, pertama kali diambil sampelnya dan dianalisis pada tahun 2017, dengan ESET menyebutnya sebagai “ancaman terbesar bagi sistem kontrol industri sejak Stuxnet”.

Varian baru yang digunakan minggu lalu pada penyedia energi Ukraina adalah evolusi dari malware asli yang digunakan dalam serangan pemadaman listrik 2016 di Ukraina.

Industroyer2 hanya menggunakan protokol IEC-104 untuk berkomunikasi dengan peralatan industri, sedangkan sebelumnya, mendukung beberapa protokol ICS.

Ini lebih dapat dikonfigurasi daripada strain asli dan pengaturan, termasuk IOA, batas waktu, dan ASDU, disimpan sebagai string yang dilewatkan melalui rutinitas komunikasi IEC-104.

Menurut analisis ESET, sampel yang baru-baru ini dianalisis berkomunikasi dengan delapan perangkat secara bersamaan.

Konfigurasi hardcode di Industroyer2 (ESET)

Tindakan pasti yang dilakukan oleh Industroyer2 setelah sambungannya ke relai masih diperiksa, tetapi telah ditentukan bahwa ia menghentikan proses sah yang dilakukan peralatan industri dalam operasi standarnya.

Sandworm adalah kelompok ancaman spionase cyber berpengalaman yang telah dikaitkan dengan Unit Militer Rusia 74455 dari Direktorat Intelijen Utama (GRU).

CERT-UA telah berbagi indikator kompromi (aturan Yara, hash file, host, jaringan) untuk membantu mencegah serangan baru dari pelaku ancaman ini.

Sumber : Bleeping Computer

Anonymous merilis database 10GB Nestlé

by

Anonymous meretas dan merilis database 10GB dari raksasa makanan dan minuman Swiss Nestlé.

Di akun twitternya, Anonymous pada hari Selasa, merilis database Nestlé. Anonymous telah menyerukan boikot total produk Nestle setelah konglomerat makanan Swiss terus memasok barang-barang penting ke Rusia meskipun ada tekanan dari pesaing untuk memutuskan hubungan.

Menanggapi tekanan publik yang kuat untuk memutuskan hubungan dengan Rusia sebagai protes atas serangan militernya di Ukraina, lebih dari 400 perusahaan multinasional telah keluar sebagian atau seluruhnya dari negara itu.

Nestlé mengumumkan awal bulan ini bahwa mereka akan menangguhkan semua ekspor produknya dari Rusia kecuali untuk barang-barang penting seperti susu formula bayi.

Nestlé juga menyatakan tidak akan mengimpor Nespresso atau produk lainnya ke Rusia, kecuali susu formula bayi, sereal, dan makanan hewan terapeutik.

Nestlé telah mempertahankan keputusannya untuk tetap berada di Rusia dengan mengklaim bahwa mereka tidak akan mendapat untung dari operasinya di sana, karena Ukraina meningkatkan tekanan pada perusahaan makanan terbesar di dunia untuk pergi saat perang meningkat dan korban meningkat.

Perdana Menteri Ukraina Denys Shmyhal mengungkapkan bahwa dia berbicara dengan CEO Nestle Mark Schneider “tentang efek samping dari tetap berada di pasar Rusia.”

Shmyhal menyatakan, “Sayangnya, dia memekakkan telinga sangat memekakkan telinga

Membayar pajak untuk anggaran negara teroris berarti membunuh anak-anak & ibu yang tak berdaya. Saya harap Nestle segera berubah pikiran.”

Sumber : The Tech Outlook

Pembaruan antivirus palsu yang digunakan untuk menyebarkan Cobalt Strike di Ukraina

by

Tim Tanggap Darurat Komputer Ukraina memperingatkan bahwa pelaku ancaman menyebarkan pembaruan antivirus Windows palsu yang menginstal Cobalt Strike dan malware lainnya.

Email phishing tersebut meniru agen pemerintah Ukraina yang menawarkan cara untuk meningkatkan keamanan jaringan dan menyarankan penerima untuk mengunduh “pembaruan keamanan penting,” yang datang dalam bentuk file 60 MB bernama “BitdefenderWindowsUpdatePackage.exe.”

Email phishing yang mendesak pengunduhan AV updater palsu (CERT-UA)

Email ini berisi tautan ke situs web Prancis (sekarang offline) yang menawarkan tombol unduh untuk dugaan pembaruan perangkat lunak AV. Situs web lain, nirsoft[.]me, juga ditemukan oleh MalwareHunterTeam sebagai server perintah dan kontrol untuk kampanye ini.

Situs web pengirim malware
Sumber:​​CERT-UA

Ketika seorang korban mengunduh dan menjalankan pembaruan BitDefender Windows palsu ini [VirusTotal], layar di bawah ini akan ditampilkan yang meminta pengguna untuk menginstal ‘Paket Pembaruan Windows’.

Paket Pembaruan Windows Bitdefender
Sumber: MalwareHunterTeam

Namun, ‘pembaruan’ ini sebenarnya mengunduh dan menginstal file one.exe [VirusTotal] dari CDN Discord, yang merupakan suar Cobalt Strike.

Proses yang sama mengambil pengunduh Go (dropper.exe) yang mendekode dan mengeksekusi file dengan enkode base-64 (java-sdk.exe).

File ini menambahkan kunci registri Windows baru untuk kegigihan dan juga mengunduh dua muatan lagi, pintu belakang GraphSteel (microsoft-cortana.exe) dan pintu belakang GrimPlant (oracle-java.exe).

Rantai infeksi kampanye yang tidak terungkap (CERT-UA)

Semua executable dalam kampanye dikemas pada alat Themida, yang melindungi mereka dari rekayasa balik, deteksi, dan analisis.

Baik GraphSteel dan GrimPlant adalah malware yang ditulis dalam Go, bahasa pemrograman serbaguna dan lintas platform dengan footprint minimal dan tingkat deteksi AV yang rendah.

Kemampuan kedua alat tersebut mencakup pengintaian jaringan, eksekusi perintah, dan operasi file, sehingga fakta bahwa keduanya digunakan dalam sistem yang sama kemungkinan dilakukan untuk redundansi.

Tim Tanggap Darurat Komputer Ukraina mengaitkan aktivitas yang terdeteksi dengan grup UAC-0056 dengan tingkat kepercayaan sedang. UAC-0056, juga dikenal sebagai “Lorec53”, adalah APT berbahasa Rusia canggih yang menggunakan kombinasi email phishing dan pintu belakang khusus untuk mengumpulkan informasi dari organisasi Ukraina.

UAC-0056 terlihat meningkatkan distribusi phishing dan upaya kompromi jaringan di Ukraina sejak Desember 2021.

Aktor yang sama terlihat menargetkan lembaga pemerintah Georgia dengan umpan phishing di masa lalu, jadi ada tingkat koordinasi dan keselarasan yang tinggi dengan kepentingan negara Rusia.

Sumber : Bleeping Computer

Data CaddyWiper baru yang menghapus malware menyerang jaringan Ukraina

by

Malware penghancur data yang baru ditemukan telah diamati sebelumnya hari ini dalam serangan yang menargetkan organisasi Ukraina dan menghapus data di seluruh sistem pada jaringan yang disusupi.

“Malware baru ini menghapus data pengguna dan informasi partisi dari drive yang terpasang,” jelas ESET Research Labs.

Meskipun dirancang untuk menghapus data di seluruh domain Windows yang digunakan, CaddyWiper akan menggunakan fungsi DsRoleGetPrimaryDomainInformation() untuk memeriksa apakah perangkat adalah pengontrol domain. Jika demikian, data pada kontroler domain tidak akan dihapus.

Ini kemungkinan taktik yang digunakan oleh penyerang untuk mempertahankan akses di dalam jaringan organisasi yang disusupi yang mereka pukul sementara masih sangat mengganggu operasi dengan menghapus perangkat penting lainnya.

Saat menganalisis header PE dari sampel malware yang ditemukan di jaringan organisasi Ukraina yang dirahasiakan, juga ditemukan bahwa malware tersebut disebarkan dalam serangan pada hari yang sama saat kompilasi.

“CaddyWiper tidak memiliki kesamaan kode yang signifikan dengan HermeticWiper, IsaacWiper, atau malware lain yang kami ketahui. Sampel yang kami analisis tidak ditandatangani secara digital,” tambah ESET.

“Serupa dengan penyebaran HermeticWiper, kami mengamati CaddyWiper disebarkan melalui GPO, menunjukkan penyerang memiliki kendali sebelumnya atas jaringan target sebelumnya.”


Tanggal kompilasi CadddyWiper (ESET)

CaddyWiper adalah malware penghapus data keempat yang digunakan dalam serangan di Ukraina sejak awal 2022, dengan analis ESET Research Labs sebelumnya menemukan dua lainnya dan Microsoft yang ketiga.

Satu hari sebelum invasi Rusia ke Ukraina dimulai, pada 23 Februari, peneliti ESET melihat malware penghapus data yang sekarang dikenal sebagai HermeticWiper, yang digunakan untuk menargetkan Ukraina bersama dengan umpan ransomware.

Mereka juga menemukan penghapus data yang mereka beri nama IsaacWiper dan worm baru bernama HermeticWizard yang digunakan penyerang untuk menjatuhkan muatan penghapus HermeticWiper, yang dikerahkan pada hari Rusia menginvasi Ukraina.

Microsoft juga menemukan penghapus yang sekarang dilacak sebagai WhisperGate, yang digunakan dalam serangan penghapusan data terhadap Ukraina pada pertengahan Januari, yang disamarkan sebagai ransomware.

Seperti yang dikatakan Presiden dan Wakil Ketua Microsoft Brad Smith, serangan berkelanjutan dengan malware destruktif terhadap organisasi Ukraina “telah tepat sasaran.”

Ini kontras dengan serangan malware NotPetya di seluruh dunia yang menyerang Ukraina dan negara lain pada tahun 2017, serangan yang kemudian dikaitkan dengan Sandworm, grup peretasan Direktorat Intelijen Utama GRU Rusia.

Serangan destruktif semacam itu adalah bagian dari “gelombang besar perang hibrida”, seperti yang dijelaskan oleh Dinas Keamanan Ukraina (SSU) tepat sebelum perang dimulai.

Sumber : Bleeping Computer