Cyberthreat.id – Analis ancaman yang memantau serangan siber di Ukraina melaporkan bahwa operasi kelompok peretasan yang didukung negara Rusia 'Gamaredon' terus menargetkan negara yang dilanda perang itu.

Melansir Bleeping Computer, Gamaredon (alias Armageddon atau Shuckworm) adalah sekelompok peretas Rusia yang diyakini sebagai bagian dari Pusat Keamanan Informasi ke-18 FSB, Layanan Keamanan Federal Rusia.

Kelompok ancaman tertentu telah menargetkan Ukraina sejak 2014 dan dianggap bertanggung jawab atas beberapa ribu serangan terhadap entitas publik dan swasta utama di negara tersebut.

Aktivitasnya terhadap target Ukraina telah bergeser sejak invasi Rusia pada Februari 2022, yang melibatkan serangan phishing dan penyebaran varian malware baru.

Operasi jangka panjang yang persisten

Menurut sebuah laporan yang diterbitkan hari ini oleh Symantec, sebuah divisi dari Broadcom Software, aktivitas Gamaredon terus berlanjut di bulan keenam perang, dengan gelombang serangan terbaru yang berlangsung antara 15 Juli dan 8 Agustus 2022.

Vektor infeksi terbaru melibatkan pesan phishing yang membawa arsip 7-Zip yang mengekstrak sendiri yang mengambil file XML dari subdomain “xsph.ru” yang terkait dengan Gamaredon sejak Mei 2022.

File XML mengarah ke eksekusi pencuri info PowerShell, di mana Symantec melihat beberapa varian yang sedikit dimodifikasi, kemungkinan besar merupakan upaya untuk menghindari deteksi.

Selain itu, peretas Rusia menggunakan pengunduh VBS untuk mengambil pintu belakang Pterodo, salah satu alat merek dagang Gamaredon, dan dalam beberapa kasus, pintu belakang Giddome.

Pintu belakang ini memungkinkan musuh untuk merekam audio menggunakan mikrofon host, mengambil tangkapan layar dari desktop, mencatat dan mengekstrak penekanan tombol, atau mengunduh dan menjalankan muatan “.exe” dan “.dll” tambahan.

Akhirnya, dalam kampanye baru-baru ini, para peretas terlihat menggunakan alat protokol desktop jarak jauh yang sah 'Ammyy Admin' dan 'AnyDesk.'

Tak satu pun dari taktik ini yang baru, menyoroti kurangnya kecanggihan Gamaredon yang dibuat oleh kelompok ancaman dengan ketekunan dan penargetan terus-menerus.

Sistem yang disusupi sebagai titik infeksi

Tim tanggap darurat komputer Ukraina (CERT-UA) juga melaporkan aktivitas Gamaredon baru-baru ini minggu lalu setelah menemukan kampanye phishing baru yang mengandalkan lampiran HTM yang dikirim dari akun email yang disusupi.

Pengamatan CERT-UA terhadap rantai infeksi juga melaporkan pencuri info PowerShell yang mencoba mengambil data yang disimpan di browser web.

Taktik menarik yang ditemukan oleh badan keamanan siber Ukraina adalah upaya Gamaredon untuk memodifikasi file “Normal.dotm” di host, menggunakan makro yang dibuat khusus.

File ini adalah template default Microsoft Word, jadi memodifikasinya berpotensi mengikat semua dokumen yang dibuat pada mesin yang disusupi dengan kode berbahaya.

Dengan melakukan itu, Gamaredon menggunakan korban sebagai sumber infeksi baru dan juga berkualitas tinggi, karena penerima yang tidak sadar lebih cenderung membuka dokumen yang dicampur dari pengirim yang mereka percayai.