Cyberthreat.id – Peretas Rusia memanfaatkan konflik yang sedang berlangsung melawan Ukraina untuk mendistribusikan malware Android yang disamarkan sebagai aplikasi untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi terhadap situs Rusia.

Dikutip dari The Hacker News, Google Threat Analysis Group (TAG) mengaitkan malware tersebut dengan Turla, kelompok APT yang juga dikenal sebagai Krypton, Venomous Bear, Waterbug, dan Uroburos, dan terkait dengan Layanan Keamanan Federal (FSB) Rusia.

"Ini adalah contoh pertama yang diketahui dari Turla yang mendistribusikan malware terkait Android, aplikasi tidak didistribusikan melalui Google Play Store, tetapi dihosting di domain yang dikendalikan oleh aktor dan disebarluaskan melalui tautan di layanan perpesanan pihak ketiga,” kata peneliti TAG, Billy Leonard.

Perlu dicatat bahwa serangan siber gencar dilakukan setelah invasi Rusia ke Ukraina mendorong Ukraina untuk membentuk Angkatan Darat TI untuk melakukan serangan kontra-DDoS terhadap situs web Rusia. Tujuan dari operasi Turla, tampaknya, adalah untuk menggunakan upaya sukarelawan ini untuk keuntungan mereka sendiri.

Billy mengatakan, aplikasi umpan tersebut di-host di domain yang menyamar sebagai Resimen Azov, unit Garda Nasional Ukraina, menyerukan orang-orang dari seluruh dunia untuk melawan agresi Rusia dengan memulai serangan penolakan layanan pada server web milik ke situs web Rusia.

Menurutnya, para aktor mendapat inspirasi dari aplikasi Android lain yang didistribusikan melalui situs web bernama "stopwar[.]pro" yang juga dirancang untuk melakukan serangan DoS dengan terus mengirimkan permintaan ke situs web target.

“Meskipun demikian, frekuensi pemasangan aplikasi Cyber ​​Azov yang berbahaya sangatlah kecil, sehingga tidak berdampak besar pada pengguna Android,” kata Billy.

Selain itu, grup Sandworm (alias Voodoo Bear) telah terhubung ke serangkaian aktivitas jahat terpisah yang memanfaatkan kerentanan Follina (CVE-2022-30190) dalam mode belanja Alat Diagnostik Dukungan Microsoft Windows (MSDT) untuk mengirim tautan yang menunjuk ke dokumen Microsoft Office dihosting di situs web yang disusupi yang menargetkan entitas media di Ukraina.

UAC-0098, aktor ancaman yang CERT-UA bulan lalu peringatkan karena mendistribusikan dokumen bertema pajak yang membawa eksploitasi Follina, juga telah dinilai sebagai mantan broker akses awal yang terkait dengan grup Conti yang bertugas menyebarkan trojan perbankan IcedID .

Billy menyebutkan, jenis aktivitas dunia maya lainnya termasuk serangan phishing kredensial yang dilakukan oleh musuh yang disebut sebagai COLDRIVER (alias Callisto) yang ditujukan kepada pejabat pemerintah dan pertahanan, politisi, LSM dan think tank, serta jurnalis.

Ini melibatkan pengiriman email baik secara langsung, termasuk domain phishing atau berisi tautan ke dokumen yang dihosting di Google Drive dan mode belanja Microsoft OneDrive yang, pada gilirannya, menampilkan tautan ke situs web yang dikendalikan penyerang yang dirancang untuk mencuri kata sandi.

Perkembangan terbaru, adanya indikasi lain tentang bagaimana aktor ancaman Rusia menunjukkan tanda-tanda lanjutan peningkatan kecanggihan dalam upaya mereka untuk menargetkan dengan cara yang menyoroti teknik mereka yang berkembang.