Cyberthreat.id – Entitas pemerintah Ukraina diretas dalam serangan yang ditargetkan setelah jaringan mereka pertama kali dikompromikan melalui file ISO trojan yang menyamar sebagai penginstal Windows 10 yang sah.

Dikutip dari Bleeping Computer, pemasang berbahaya ini mengirimkan malware yang mampu mengumpulkan data dari komputer yang disusupi, menyebarkan alat berbahaya tambahan, dan mengekstraksi data yang dicuri ke server yang dikendalikan penyerang. Salah satu ISO yang didorong dalam kampanye ini dihosting di toloka[.]to pelacak torrent Ukraina oleh pengguna yang dibuat pada Mei 2022.

"ISO dikonfigurasi untuk menonaktifkan telemetri keamanan tipikal yang akan dikirim komputer Windows ke Microsoft dan memblokir pembaruan otomatis dan verifikasi lisensi," kata perusahaan keamanan siber Mandiant yang menemukan serangan tersebut pada hari Kamis.

Peneliti Mandiant mengatakan, pihaknya tidak menemukan indikasi motivasi finansial untuk penyusupan, baik melalui pencurian informasi yang dapat dimonetisasi atau penyebaran ransomware atau cryptominers. Saat menganalisis beberapa perangkat yang terinfeksi di jaringan Pemerintah Ukraina, mereka menemukan tugas terjadwal yang disiapkan pada pertengahan Juli 2022 dan dirancang untuk menerima perintah yang akan dijalankan melalui PowerShell.

Setelah pengintaian awal, pelaku ancaman juga menggunakan pintu belakang Stowaway, Beacon, dan Sparepart yang memungkinkan mereka mempertahankan akses ke komputer yang disusupi, menjalankan perintah, mentransfer file, dan mencuri informasi, termasuk kredensial dan penekanan tombol.

ISO Windows 10 trojan didistribusikan melalui platform berbagi file torrent berbahasa Ukraina dan Rusia, tidak seperti serangan serupa di mana kelompok spionase dunia maya menghosting muatan di infrastruktur mereka. Sementara serangan rantai pasokan ini telah menghantam pemerintah Ukraina, file Windows ISO berbahaya tersedia melalui torrent

“Kami menilai bahwa pelaku ancaman mendistribusikan penginstal ini secara publik, dan kemudian menggunakan tugas jadwal yang disematkan untuk menentukan apakah korban harus menyebarkan muatan lebih lanjut,” tambah Mandiant.

Sementara penginstal Windows 10 berbahaya tidak secara khusus menargetkan pemerintah Ukraina, pelaku ancaman menganalisis perangkat yang terinfeksi dan melakukan serangan lebih lanjut, lebih terfokus, pada mereka yang ditentukan sebagai milik entitas pemerintah.

Mandiant mengatakan, kelompok ancaman di balik serangan rantai pasokan ini sedang dilacak sebagai UNC4166, dan kemungkinan tujuannya adalah untuk mengumpulkan dan mencuri informasi sensitif dari jaringan pemerintah Ukraina. Meskipun tidak ada atribusi yang jelas pada saat itu, peneliti keamanan Mandiant telah menemukan bahwa organisasi yang diserang dalam kampanye ini sebelumnya masuk dalam daftar target peretas negara bagian APT28 yang terkait dengan intelijen militer Rusia.

"Target UNC4166 tumpang tindih dengan organisasi yang ditargetkan oleh klaster terkait GRU dengan wiper di awal perang." kata Mandiant.

Menurut perusahaan itu, APT28 telah beroperasi setidaknya sejak tahun 2004 atas nama Direktorat Intelijen Utama Staf Umum Rusia (GRU) dan telah dikaitkan dengan kampanye yang menargetkan pemerintah di seluruh dunia, termasuk peretasan parlemen federal Jerman tahun 2015 dan serangan terhadap Komite Kampanye Kongres Demokratik (DCCC). dan Komite Nasional Demokrat (DNC) pada tahun 2016.

Sejak invasi Rusia ke Ukraina dimulai, beberapa kampanye phishing yang menargetkan pemerintah Ukraina dan organisasi militer telah ditandai sebagai operasi APT28 oleh Google, Microsoft, dan CERT Ukraina.

"Penggunaan trojanisasi ISO adalah hal baru dalam operasi spionase dan termasuk kemampuan anti-deteksi menunjukkan bahwa pelaku di balik aktivitas ini sadar akan keamanan dan sabar, karena operasi akan membutuhkan waktu dan sumber daya yang signifikan untuk mengembangkan dan menunggu ISO menjadi diinstal pada jaringan yang diminati," tambah Mandiant.