Cyberthreat.id – Peneliti Threat Analysis Group (TAG) Google menemukan adanya serangan penyebaran email phishing dari kelompok peretas terkenal Rusia, FancyBear.

“FancyBear atau APT28 ialah aktor ancaman yang dikaitkan dengan GRU Rusia,” tutur Peneliti TAG Google, Shane Huntley di blog perusahaan, Senin (7 Maret 2022).

Selama dua pekan terakhir, menurut TAG, kelompok tersebut berupaya mencuri kredensial akun online pengguna ukr.net, perusahaan media Ukraina.

“Email phishing dikirim dari sejumlah besar akun yang disusupi (non-Gmail/Google), dan menyertakan tautan ke domain yang dikendalikan penyerang,” kata Shane.

Phishing adalah teknik serangan siber umum untuk mencuri informasi login akun pengguna juga menanam perangkat lunak jahat di mesin komputer pengguna.

Kelompok tersebut menggunakan domain Blogspot yang baru dibuat untuk dijadikan sebagai halaman arahan awal. Halaman ini kemudian mengarahkan target ke halaman phishing untuk mencuri kredensial.

“Semua domain Blogspot yang dikendalikan penyerang kini telah dihapus,” ujar Shane.

Contoh domain yang dipakai dalam serangan phishing, antara lain

• id-unconfirmeduser[.] frge[.] Io
• hatdfg-rhgreh684[.] frge[.] Io
• ua-consumerpanel[.] frge[.] Io
• consumerspanel[.] frge[.] Io

Sejauh ini, Google belum bisa memvalidasi apakah serangan-serangan itu telah berhasil ataut tidak.

Sementara itu, kelompok peretas Belarusia berjuluk “Ghorswriter” aka “UNC1151” juga telah bergerak dalam upaya mencuri kredensial akun online melalui serangan phishing ke organisasi pemerintah dan militer Polandia dan Ukraina.

Mereka menargetkan pengguna webmail dari penyedia, seperti i.ua, meta.ua, rambler.ru, ukr.net, wp.pl, dan yandex.ru.

Sementara, domain phishing yang dipakai mereka, antara lain:

• accounts[.]secure-ua[.]website
• i[.]ua-passport[.]top
• login[.]creditals-email[.]space
• post[.]mil-gov[.]space
• verify[.]rambler-profile[.]site

“Domain phishing ini telah diblokir melalui Google Safe Browsing – layanan yang mengidentifikasi situs web yang tidak aman di seluruh web dan memberi tahu pengguna dan pemilik situs web tentang potensi bahaya,” ujar Shane.

Bulan lalu, pemerintah Ukraina juga mengatakan peretas Belarusia menargetkan alamat email pribadi tentara Ukraina dan target individu lain yang terkait. (Baca: Email Tentara Ukraina Ditarget, Kelempok Peretas Belarusia ‘UNC151’ Dituding di Balik Serangan)

Google juga mengatakan kelompok peretas “Mustang Panda” atau “Temp.Hex”, yang diduga berasal dari China, juga melakukan ancaman email phishing ke organisasi Eropa. Namun, tak disebutkan negara mana yang ditarget.

Menurut Shane, peneliti mengidentifikasi lampiran berbahaya dengan nama file seperti “Situasi di perbatasan UE dengan Ukraina.zip”. Dalam file .zip tersebut berisi pengunduh dasar dan ketika dieksekusi, mengunduh beberapa file tambahan yang memuat muatan akhir.

Serangan ke organisasi Eropa bukanlah wilayah yang biasa disasar Mustang Panda. Kelompok ini biasanya menargetkan organisasi di Asia Tenggara, kata Shane.

Serangan DDoS

Selain serangan email phishing, peneliti Google juga melihat upaya DDoS terhadap situsweb-situsweb Ukraina, termasuk Kementerian Luar Negeri, Kementerian Dalam Negeri, serta layanan seperti Liveuamap yang dirancang untuk membantu orang menemukan informasi.

“Kami memperluas kelayakan untuk Project Shield, perlindungan gratis kami terhadap serangan DDoS, sehingga situsweb pemerintah Ukraina, kedutaan besar di seluruh dunia dan pemerintah lain di dekat konflik dapat tetap online,” kata Shane.

Project Shield memungkinkan Google untuk menyerap lalu lintas yang buruk dalam serangan DDoS dan bertindak sebagai "perisai" untuk situsweb, memungkinkan mereka untuk terus beroperasi dan bertahan melawan serangan ini.

“Sampai hari ini, lebih dari 150 situsweb di Ukraina, termasuk banyak organisasi berita, menggunakan layanan ini,” Shane menjelaskan.[]