Zagreb,Cyberthreat.id - Kelompok hacker misterius dilaporkan telah melakukan serangan siber dengan menargetkan pegawai pemerintahan Kroasia pada Februari dan April belum lama ini.

Para penyerang diduga  sebagai unit yang disponsori negara. Dalam melakukan serangan, hacker misterius tersebut menargetkan para korban menggunakan kampanye tombak phishing yang meniru pemberitahuan pengiriman dari pos Kroasia atau layanan ritel lainnya.

Serangan itu, berupa email berisi tautan ke situs web jarak jauh dengan URL yang mirip, tempat pengguna diminta mengunduh dokumen Excel.

Dokumen tersebut, kemudian dicampur dengan kode berbahaya yang dikemas sebagai skrip makro yang tampaknya sebagian besar disalin dari internet, dari berbagai tutorial atau proyek sumber terbuka yang dihosting di StackOverflow.com, Dummies.com, Issuu.com, Rastamouse.me, atau GitHub .com.

Dalam sebuah presentasi Positive Hack Days (PHDays) pada bulan Mei, Alexey Vishnyakov, Spesialis Senior Analisis Ancaman  Positive Technologies, mengatakan, skrip makro tersebut, jika diaktifkan oleh korban, akan mengunduh dan menginstal malware di sistem mereka. Dua rangkaian muatan malware yang berbeda terdeteksi selama serangan ini.

Dua rangkaian malware tersebut, adalah, pertama,  serangan melalui pintu belakang, yang merupakan komponen kerangka kerja pasca eksploitasi. Kedua, adalah SilentTrinity, alat pasca eksploitasi lain, mirip dengan yang pertama.

“Ini adalah pertama kalinya, ketika aktor ancaman jahat telah mempersenjatai alat SilentTrinity di kampanye distribusi malware aktif,” kata  Vishnyakov, seperti yang diakses dari ZDNet, Sabtu, (6 juli 2019).

Serangan phishing tersebut akhirnya terdeteksi pada awal April oleh Pemerintahan Kroasia. Biro Keamanan Sistem Informasi ( The Information Systems Security Bureau / ZSIS), otoritas pusat Kroasia yang bertanggung jawab atas keamanan dunia maya kemudian mengeluarkan dua peringatan terpisah tentang serangan-serangan tersebut.

Badan keamanan siber negara, kemudian berbagi indikator serangan,  seperti nama file, kunci registri, URL, dan alamat IP untuk server perintah dan kontrol penyerang, serta meminta lembaga negara untuk memeriksa log dan memindai komputer untuk kemungkinan infeksi.

"Pos Kroasia telah mengambil langkah-langkah untuk menghapus situs web berbahaya dan server, tetapi kedua versi malware saat ini aktif," kata agensi itu.

“Dengan penyerang malware ini dapat mengambil kendali atas komputer dan menjalankan perintah sewenang-wenang di bawah wewenang pengguna yang membuka file XLS dan diaktifkan untuk menjalankan perintah makro,” tambah agensi tersebut.

Vishnyakov kemudian menunjukkan koneksi tertentu antara server yang digunakan dalam kampanye ini yang menargetkan lembaga pemerintah Kroasia dan operasi distribusi malware di masa lalu.

Namun,  Vishnyakov  menahan diri untuk tidak menghubungkan serangan-serangan ini dengan aktor ancaman tertentu. Tetapi, dia memastikan ada upaya dalam skala besar melalui serangan ini.

“Data yang tersedia tentang host, alamat, dan domain yang digunakan,serta tingginya jumlah koneksi di antara mereka,menunjukkan upaya jahat dalam skala besar,” ungkap Vishnyakov.

Sementara itu, sebuah laporan lain dari FireEye, sebuah perusahaan cybersecurity juga mengulas tentang peretas yang menggunakan kerentanan WinRAR untuk menginfeksi target pemerintah di Ukraina melalui pintu belakang yang sama, dan menggunakan server yang sama.

Tetapi, FireEye tidak mau mengaitkan serangan-serangan itu dengan kelompok hacker tertentu, yang pernah menargetkan pemerintah Ukraina, yang disinyalir aktor ancaman berasal Rusia. Peristiwa ini, telah menargetkan pejabat negara dan lembaga pemerintah sejak 2014, ketika pasukan Rusia menyerbu semenanjung Krimea.